O OSSEC é um escalável, multi-plataforma, e open source HIDS. Ele integra análise de log, checagem de integridade de arquivos, monitoramento do registro do Windows, politica centralizada, detecção de rootkit, alerta em tempo real e resposta automática.
Nesta série de 03 artigos faremos a instalação do Ossec como servidor, da interface Web do Ossec e de um agente.
Agora é a hora da diversão!!!
Instale as dependências necessárias para o Ossec e Ossec-WUI
aptitude -y install apache2 python openssl php5 php-pear php5-xsl curl libcurl3 libcurl3-dev php5-curl build-essential libmysqlclient-dev libssl-dev libsnmp-dev libapache2-mod-php5 php5-gd
Baixe o Ossec
wget -c http://www.ossec.net/files/ossec-hids-2.2.tar.gz
Descompacte o arquivo e acesse o diretório criado
tar -xvf ossec-hids-2.2.tar.gz
cd ossec-hids-2.2
Execute o arquivo install.sh para iniciar a instalação do Ossec
./install.sh
** Para instalação em português, escolha [br].
** 要使用中文进行安装, 请选择 [cn].
** Fur eine deutsche Installation wohlen Sie [de].
** Για εγκατάσταση στα Ελληνικά, επιλέξτε [el].
** For installation in English, choose [en].
** Para instalar en Español , eliga [es].
** Pour une installation en français, choisissez [fr]
** Per l’installazione in Italiano, scegli [it].
** 日本語でインストールします.選択して下さい.[jp].
** Voor installatie in het Nederlands, kies [nl].
** Aby instalować w języku Polskim, wybierz [pl].
** Для инструкций по установке на русском ,введите [ru].
** Za instalaciju na srpskom, izaberi [sr].
** Türkçe kurulum için seçin [tr].
(en/br/cn/de/el/es/fr/it/jp/nl/pl/ru/sr/tr) [en]: br [ Digite o idioma para instalação]OSSEC HIDS v2.2 Script de instalação – http://www.ossec.net
Você está iniciando o processo de instalação do OSSEC HIDS.
Você precisará de um compilador C pré-instalado em seu sistema.
Qualquer dúvida, sugestões ou comentários, por favor, mande um e-mail para
[email protected] (ou [email protected]).– Sistema: Linux debian 2.6.26-2-686
– Usuário: root
– Host: debian— Aperte ENTER para continuar ou Ctrl+C para abortar. —
1- Que tipo de instalação você deseja (servidor, cliente, local ou ajuda)? servidor [ Digite a opção ‘servidor’]
– Escolhida instalação servidor.
2- Configurando o ambiente de instalação.
– Escolha onde instalar o OSSEC HIDS [/var/ossec]: [Pressione ENTER]
– A instalação será feita no diretório /var/ossec .3- Configurando o OSSEC HIDS.
3.1- Deseja receber notificações por e-mail? (s/n) [s]: [Pressione ENTER]
– Qual é o seu endereço de e-mail? [email protected] [INFORME SEU EMAIL AQUI]
– Seu servidor SMTP foi encontrado como: gmail-smtp-in.l.google.com.
– Deseja usá-lo? (s/n) [s]: [Pressione ENTER]
— Usando servidor SMTP: gmail-smtp-in.l.google.com.3.2- Deseja habilitar o sistema de verificação de integridade? (s/n) [s]: [Pressione ENTER]
– Syscheck (Sistema de verificação de integridade) habilitado.3.3- Deseja habilitar o sistema de detecção de rootkis? (s/n) [s]: [Pressione ENTER]
– Deseja habilitar o sistema de respostas automáticas? (s/n) [s]: n [ LEIA A NOTA SOBRE ESTE ITEM ]
NOTA: O sistema de respostas automáticas por padrão pode habilitar o ‘host-deny’ e o ‘firewall-drop’. O primeiro adicionará um host ao /etc/hosts.deny e o segundo bloqueará o host no ‘iptables’ (se linux) ou no ipfilter (se Solaris, FreeBSD ou NetBSD). Eles podem ser usados para parar ‘SSHD brute force scans’, portscans e outras formas de ataque. Você pode também realizar bloqueios baseados nos alertas do snort, por exemplo.
3.5- Deseja habilitar o syslog remoto (514 udp)? (s/n) [s]: n [ Digite ‘n’ se não possuir um syslog remoto ]
— Syslog desabilitado.3.6- Ajustando a configuração para analisar os seguintes logs:
— /var/log/messages
— /var/log/auth.log
— /var/log/syslog
— /var/log/mail.info
— /var/log/dpkg.log
— /var/log/apache2/error.log (apache log)
— /var/log/apache2/access.log (apache log)– Se quiser monitorar qualquer outro arquivo, modifique
o ossec.conf e adicione uma nova entrada para o arquivo.
Qualquer dúvida sobre a configuração, visite http://www.ossec.net/hids/ .— Pressione ENTER para continuar —
A seguinte mensagem surgirá após as mensagens do processo de instalação :
– O Sistema é Debian (Ubuntu or derivative).
– O script de inicialização foi modificado para executar o OSSEC HIDS durante o boot.– Configuração finalizada corretamente.
– Para iniciar o OSSEC HIDS:
/var/ossec/bin/ossec-control start– Para parar o OSSEC HIDS:
/var/ossec/bin/ossec-control stop– A configuração pode ser vista ou modificada em /var/ossec/etc/ossec.conf
Obrigado por usar o OSSEC HIDS.
Se você tiver alguma pergunta, sugestão ou encontrar algum
“bug”, nos contate através do e-mail [email protected] ou
utilize nossa lista de e-mail:
( http://www.ossec.net/main/support/ ).Maiores informações podem ser encontradas em http://www.ossec.net
— Pressione ENTER para continuar —
– Você precisa adicionar cada um dos clientes antes que estejam autorizados a acessar o servidor.
Execute o ‘manage_agents’ para adicioná-los ou removê-los:/var/ossec/bin/manage_agents
Maiores informações em:
http://www.ossec.net/en/manual.html#ma
Feito. O Ossec server está instalado, agora iremos iniciá-lo. No pŕoximo artigo faremos a instalação do Ossec-WUI
/var/ossec/bin/ossec-control start
Starting OSSEC HIDS v2.2 (by Trend Micro Inc.)…
Started ossec-maild…
Started ossec-execd…
Started ossec-analysisd…
Started ossec-logcollector…
Started ossec-remoted…
Started ossec-syscheckd…
Started ossec-monitord…Completed.
[…] é a hora da diversão!!!” [Enviado por Alexandro Silva (alexoslabsΘgmail·com) – referência […]
[…] facilitar a implentação postei 03 artigos com a instalação do Ossec Server, o Agente e a Interface […]
Alexandro, é interessante ativar as respostas automáticas ? O OSSEC chega a desativar a conta do usuário por falso positivo ? Há algum perigo ? Vantagens ou desvantagens, se há desvantagens, são relevantes ?
PS:. Estou usando a versão do OSSEC 2.5.1 no servidor, ainda está em testes.
Incluse na versão 2.5.1, alem do “firewall-drop” e “host-deny” tem tambem “disable ccount”.
Olá Cassio,
Sim. O ideal é habilitar estes recursos para obter toda a pro atividade da ferramenta.
Abs,
Alexos
Caro Alessandro,
Ao instalar e configurar o OSSEC SERVER , o servidor no qual ele foi instalado já estará sendo monitorado também?
Atenciosamente,