Para finalizar nossa trilogia, iremos instalar o Ossec HIDS em outro host mas dessa vez como agente. Após a instalação veremos como ele será apresentado no Ossec-WUI.
Em outro host faremos o download do Ossec HIDS e iniciaremos a instalação seguindo os mesmos passos realizados no servidor
Instale as dependências necessárias
aptitude -y build-essential
Baixe o Ossec HIDS
wget -c http://www.ossec.net/files/ossec-hids-2.2.tar.gz
Descompacte o arquivo e inicie a instalação
tar -xvf ossec-hids-2.2.tar.gz
cd ossec-hids-2.2
./install.sh
OSSEC HIDS v2.2 Script de instalação – http://www.ossec.net
Você está iniciando o processo de instalação do OSSEC HIDS.
Você precisará de um compilador C pré-instalado em seu sistema.
Qualquer dúvida, sugestões ou comentários, por favor, mande um e-mail para
[email protected] (ou [email protected]).– Sistema: Linux debian 2.6.26-2-686
– Usuário: root
– Host: debian— Aperte ENTER para continuar ou Ctrl+C para abortar. —
1- Que tipo de instalação você deseja (servidor, cliente, local ou ajuda)? cliente [ Digite ‘cliente’ ]
– Escolhida instalação cliente.
2- Configurando o ambiente de instalação.
– Escolha onde instalar o OSSEC HIDS [/var/ossec]: [Pressione ENTER]
– A instalação será feita no diretório /var/ossec .
3- Configurando o OSSEC HIDS.
3.1- Qual é o endereço de IP do servidor OSSEC HIDS?: [ Informe o IP do servidor instalado anteriormente ]
xxx.xx.xxx.xxx
– Adicionando IP do servidor xxx.xx.xxx.xxx
3.2- Deseja habilitar o sistema de verificação de integridade? (s/n) [s]: [Pressione ENTER]
– Syscheck (Sistema de verificação de integridade) habilitado.3.3- Deseja habilitar o sistema de detecção de rootkis? (s/n) [s]: [Pressione ENTER]
– Rootcheck (Sistema de detecção de rootkits) habilitado.3.4 – Deseja habilitar o sistema de respostas automáticas? (s/n) [s]: n [ Digite ‘n’ ]
– Sistema de respostas automáticas desabilitado.3.5- Ajustando a configuração para analisar os seguintes logs:
— /var/log/messages
— /var/log/auth.log
— /var/log/syslog
— /var/log/mail.info
— /var/log/dpkg.log– Se quiser monitorar qualquer outro arquivo, modifique
o ossec.conf e adicione uma nova entrada para o arquivo.
Qualquer dúvida sobre a configuração, visite http://www.ossec.net/hids/ .— Pressione ENTER para continuar —
Após as mensagens do processo de instalação aparecerão as linhas abaixo:– O Sistema é Debian (Ubuntu or derivative).
– O script de inicialização foi modificado para executar o OSSEC HIDS durante o boot.– Configuração finalizada corretamente.
– Para iniciar o OSSEC HIDS:
/var/ossec/bin/ossec-control start– Para parar o OSSEC HIDS:
/var/ossec/bin/ossec-control stop– A configuração pode ser vista ou modificada em /var/ossec/etc/ossec.conf
Obrigado por usar o OSSEC HIDS.
Se você tiver alguma pergunta, sugestão ou encontrar algum
“bug”, nos contate através do e-mail [email protected] ou
utilize nossa lista de e-mail:
( http://www.ossec.net/main/support/ ).Maiores informações podem ser encontradas em http://www.ossec.net
— Pressione ENTER para continuar —
– Para se comunicar com o servidor, você primeiro precisa
adicionar este cliente a ele. Quando você tiver terminado,
use a ferramenta ‘manage_agents’ para importar a chave de
autenticação do servidor./var/ossec/bin/manage_agents
Maiores informações em:
http://www.ossec.net/en/manual.html#ma
Agora iremos adicionar este agente no servidor instalado anteriormente
No servidor execute os seguintes passos
Execute o manage_agents
/var/ossec/bin/manage_agents
****************************************
* OSSEC HIDS v2.2 Agent manager. *
* The following options are available: *
****************************************
(A)dd an agent (A).
(E)xtract key for an agent (E).
(L)ist already added agents (L).
(R)emove an agent (R).
(Q)uit.
Choose your action: A,E,L,R or Q: [ Digite A para adicionar um agente ]
– Adding a new agent (use ‘q’ to return to the main menu).
Please provide the following:
* A name for the new agent: teste [ Digite o nome do agente ]
* The IP Address of the new agent: xxx.xxx.xxx.xxx [ Digite o IP do agente ]
* An ID for the new agent[001]: [ Pressione ENTER ou informe um ID ]
Agent information:
ID:001
Name:teste
IP Address:xxx.xxx.xxx.xxxConfirm adding it?(y/n): y [ Digite ‘y’ ]
Agent added.
****************************************
* OSSEC HIDS v2.2 Agent manager. *
* The following options are available: *
****************************************
(A)dd an agent (A).
(E)xtract key for an agent (E).
(L)ist already added agents (L).
(R)emove an agent (R).
(Q)uit.
Choose your action: A,E,L,R or Q: E [ Digite ‘E’ para obter a chave do agente ]
Available agents:
ID: 001, Name: teste, IP: xxx.xxx.xxx.xxx
Provide the ID of the agent to extract the key (or ‘q’ to quit): 001 [ Informe o ID do agente ]Agent key information for ‘001’ is: [ Guarde esta chave para adicionar na configuração do agente ]
MDAxIHRlc3RlIDE3Mi4xNi4wLjYgZmRkMDRiM2EyNThlYWM0ZWQ5ODU1NWZmNGY0NjM3YTVjMDI2MzA5NTg1Y2M5NjgyODczNjIxMTdiMzhlZWFlYw==** Press ENTER to return to the main menu.
****************************************
* OSSEC HIDS v2.2 Agent manager. *
* The following options are available: *
****************************************
(A)dd an agent (A).
(E)xtract key for an agent (E).
(L)ist already added agents (L).
(R)emove an agent (R).
(Q)uit.
Choose your action: A,E,L,R or Q: Q [ Digite ‘Q’para sair ]
Reinicie o Ossec Server
/var/ossec/bin/ossec-control restart
Agora iremos configurar o agente Ossec
Execute o manage_agents
/var/ossec/bin/manage_agents
****************************************
* OSSEC HIDS v2.2 Agent manager. *
* The following options are available: *
****************************************
(I)mport key from the server (I).
(Q)uit.
Choose your action: I or Q: I [ Digite ‘I’ ]* Provide the Key generated by the server.
* The best approach is to cut and paste it.
*** OBS: Do not include spaces or new lines.Paste it here (or ‘q’ to quit): [ Informe aqui a chave gerada pelo Ossec server ] MDAxIHRlc3RlIDE3Mi4xNi4wLjYgZmRkMDRiM2EyNThlYWM0ZWQ5ODU1NWZmNGY0NjM3YTVjMDI2MzA5NTg1Y2M5NjgyODczNjIxMTdiMzhlZWFlYw==
Agent information:
ID:001
Name:teste
IP Address:xxx.xxx.xxx.xxxConfirm adding it?(y/n): y [ Digite ‘y’ ]
Added.
** Press ENTER to return to the main menu.
****************************************
* OSSEC HIDS v2.2 Agent manager. *
* The following options are available: *
****************************************
(I)mport key from the server (I).
(Q)uit.
Choose your action: I or Q: Q [ Digite ‘Q’ para sair ]** You must restart the server for your changes to have effect.
manage_agents: Exiting ..
Reinicie o Ossec agent
/var/ossec/bin/ossec-control restart
Acesse o Ossec-WUI e confirme se o agente está sendo monitorado como nos screens abaixo:
Essa interface é bem amigável. Ótimo para quem realmente deseja monitorar “mais de perto” seus servidores.
Parabéns pelo Tutorial…
[…] facilitar a implentação postei 03 artigos com a instalação do Ossec Server, o Agente e a Interface […]