Si comme moi vous trouvez OSSEC "pas mal" vous pouvez installer des agents sur d'autres machines, pour cela il vous suffira de modifier votre machine originale en mode "serveur".
Note juillet 2018 : cette version est aujourd'hui obsolete, voir l'article sur la version 3.0.0 stable.
Il faut malheureusement détruire son installation existante et refaire une installation.
Détruire les éléments suivants :
/var/ossec
/etc/ossec-init.conf
/etc/init.d/ossec
et
./rc.d/rc2.d/S99ossec
./rc.d/rc0.d/K15ossec
./rc.d/rc4.d/S99ossec
./rc.d/rc1.d/K15ossec
./rc.d/rc5.d/S99ossec
./rc.d/rc6.d/K15ossec
./rc.d/rc3.d/S99ossec
Il suffit alors comme d'habitude de se rendre dans le répertoire d'installation et de lancer l'inévitable "install.sh".
Si vous désirez utiliser le stockage dans une base Mysql, n'oubliez pas d'activer la fonctionnaité "Mysql" (voir article).
On choisit la langue, et on frappe "Entrée" sur l'invite ...
======================================================================
| ... /... -- Appuyez sur Entrée pour continuer ou Ctrl-C pour annuler. -- 1- Quel type d'installation voulez-vous (serveur, agent, local ou aide) ? serveur - Installation du serveur choisie. 2- Définition de l'environnement d'installation. - Choisissez votre répertoire d'installation de OSSEC HIDS [/var/ossec]: - L'installation sera faite sur /var/ossec . 3- Configuration de OSSEC HIDS. 3.1- Voulez-vous une alerte par email ? (o/n) [o]: o - Quel est votre adresse email ? toto@monserveur - Quel est l'adresse IP ou le nom d'hôte de votre serveur SMTP ? 192.168.1.xxx 3.2- Voulez-vous démarrer le démon de vérification d'intégrité ? (o/n) [o]: O - Lancement de syscheck (démon de vérification d'int&grité). 3.3- Voulez-vous démarrer le moteur de détection de rootkit ? (o/n) [o]: O - Lancement de rootcheck (détection de rootkit). 3.4- La réponse active vous permet d'éxécuter des commandes spécifiques en fonction d'événement. Par exemple, vous pouvez bloquer une adresse IP ou interdire l'accès à un utilisateur spécifique. Plus d'information sur : http://www.ossec.net/en/manual.html#active-response - voulez-vous démarrer la réponse active ? (o/n) [o]: O - Réponse active activée. - Par défaut, nous pouvons activer le contrôle d'hôte et le pare-feu (firewall-drop). Le premier ajoute un hôte dans /etc/hosts.deny et le second bloquera l'hôte dans iptables (sous linux) ou dans ipfilter (sous Solaris, FreeBSD ou NetSBD). - Ils peuvent aussi être utilisés pour arrêter les scans en force brute de SSHD, les scans de ports ou d'autres formes d'attaques. Vous pouvez aussi les bloquer par rapport à des événements snort, par exemple. - Voulez-vous activer la réponse pare-feu (firewall-drop) ? (o/n) [o]: o - liste blanche (white list) par défaut pour la réponse active : - 192.168.2.xxx - 192.168.2.xxx - Voulez-vous d'autres adresses IP dans votre liste (white list) ? (o/n)? [n]: o - IPs (séparées par des espaces) : 192.168.1.xxx 3.5- Voulez-vous activer fonctionnalités syslog (port udp 514) ? (o/n) [o]: n --- Fonctionnalité syslog désactivée. 3.6- Mise en place de la configuration pour analyser les logs suivants : -- /var/log/messages -- /var/log/secure -- /var/log/maillog -- /var/log/httpd/error_log (apache log) -- /var/log/httpd/access_log (apache log) - Si vous voulez surveiller d'autres fichiers, changez le fichier ossec.conf en ajoutant une nouvelle valeur de nom de fichier local. Pour toutes vos questions sur la configuration, consultez notre site web http://www.ossec.net . ... ... ... la compil se passe ... ... ... - Le Système est Redhat Linux. - Script d'initialisation modifié pour démarrer OSSEC HIDS pendant le boot. - Configuration correctement terminée. - Pour démarrer OSSEC HIDS: /var/ossec/bin/ossec-control start - Pour arrêter OSSEC HIDS: /var/ossec/bin/ossec-control stop - La configuration peut être visualisée ou modifiée dans /var/ossec/etc/ossec.conf Merci d'utiliser OSSEC HIDS. Si vous avez des questions, suggestions ou si vous trouvez un bug, contactez nous sur contact@ossec.net ou en utilisant la liste de diffusion publique sur ossec-list@ossec.net ( http://www.ossec.net/en/mailing_lists.html ). Plus d'information peut être trouver sur http://www.ossec.net --- Appuyez sur Entrée pour finir (peut-être plus d'info plus bas). --- - Vous devez ajouter le(s) agent(s) avant qu'ils aient un accès autorisé. Lancez 'manage_agent' pour les ajouter ou les supprimer: /var/ossec/bin/manage_agents Plus d'information sur: http://www.ossec.net/en/manual.html#ma |
====================================================================
Dès le service lancé on constate l'ouverture d'un port en écoute :
lsof -Pn | grep UDP | grep oss
ossec-rem 5859 ossecr 4u IPv4 152930 UDP *:1514
après avoir démarré un poste muni d'un agent on peut voir dans le log de celui-ci la trace de la connection au serveur OSSEC (/var/ossec/logs/ossec.log) :
2010/06/30 14:24:03 ossec-agentd(4102): INFO: Connected to the server (192.168.1.124:1514).
2010/06/30 14:29:37 ossec-syscheckd: INFO: Finished creating syscheck database (pre-scan completed).
Pour le reste du fonctionnement il est identique à celui de la version locale.