HowTo, Segurança

Instalando o Ossec HIDS Server

O OSSEC é um escalável, multi-plataforma, e open source HIDS. Ele integra análise de log, checagem de integridade de arquivos, monitoramento do registro do Windows, politica centralizada, detecção de rootkit, alerta em tempo real e resposta automática.

Nesta série de 03 artigos faremos a instalação do Ossec como servidor, da interface Web do Ossec e de um agente.

Agora é a hora da diversão!!!

Instale as dependências necessárias para o Ossec e Ossec-WUI

aptitude -y install apache2 python openssl php5 php-pear php5-xsl curl libcurl3 libcurl3-dev php5-curl build-essential libmysqlclient-dev libssl-dev libsnmp-dev libapache2-mod-php5 php5-gd

Baixe o Ossec

wget -c http://www.ossec.net/files/ossec-hids-2.2.tar.gz

Descompacte o arquivo e acesse o diretório criado

tar -xvf ossec-hids-2.2.tar.gz

cd ossec-hids-2.2

Execute o arquivo install.sh para iniciar a instalação do Ossec

./install.sh

** Para instalação em português, escolha [br].
** 要使用中文进行安装, 请选择 [cn].
** Fur eine deutsche Installation wohlen Sie [de].
** Για εγκατάσταση στα Ελληνικά, επιλέξτε [el].
** For installation in English, choose [en].
** Para instalar en Español , eliga [es].
** Pour une installation en français, choisissez [fr]
** Per l’installazione in Italiano, scegli [it].
** 日本語でインストールします.選択して下さい.[jp].
** Voor installatie in het Nederlands, kies [nl].
** Aby instalować w języku Polskim, wybierz [pl].
** Для инструкций по установке на русском ,введите [ru].
** Za instalaciju na srpskom, izaberi [sr].
** Türkçe kurulum için seçin [tr].
(en/br/cn/de/el/es/fr/it/jp/nl/pl/ru/sr/tr) [en]: br [ Digite o idioma para instalação]

OSSEC HIDS v2.2 Script de instalação – http://www.ossec.net

Você está iniciando o processo de instalação do OSSEC HIDS.
Você precisará de um compilador C pré-instalado em seu sistema.
Qualquer dúvida, sugestões ou comentários, por favor, mande um e-mail para
[email protected] (ou [email protected]).

– Sistema: Linux debian 2.6.26-2-686
– Usuário: root
– Host: debian

— Aperte ENTER para continuar ou Ctrl+C para abortar. —

1- Que tipo de instalação você deseja (servidor, cliente, local ou ajuda)? servidor [ Digite a opção ‘servidor’]

– Escolhida instalação servidor.

2- Configurando o ambiente de instalação.

– Escolha onde instalar o OSSEC HIDS [/var/ossec]: [Pressione ENTER]

– A instalação será feita no diretório /var/ossec .

3- Configurando o OSSEC HIDS.

3.1- Deseja receber notificações por e-mail? (s/n) [s]: [Pressione ENTER]

– Qual é o seu endereço de e-mail? [email protected] [INFORME SEU EMAIL AQUI]
– Seu servidor SMTP foi encontrado como: gmail-smtp-in.l.google.com.
– Deseja usá-lo? (s/n) [s]: [Pressione ENTER]
— Usando servidor SMTP:  gmail-smtp-in.l.google.com.

3.2- Deseja habilitar o sistema de verificação de integridade? (s/n) [s]: [Pressione ENTER]

– Syscheck (Sistema de verificação de integridade) habilitado.

3.3- Deseja habilitar o sistema de detecção de rootkis? (s/n) [s]: [Pressione ENTER]

– Deseja habilitar o sistema de respostas automáticas? (s/n) [s]: n [ LEIA A NOTA SOBRE ESTE ITEM ]

NOTA: O sistema de respostas automáticas por padrão pode habilitar o ‘host-deny’ e  o ‘firewall-drop’. O primeiro adicionará um host ao /etc/hosts.deny e o segundo bloqueará o host no ‘iptables’ (se linux) ou no ipfilter (se Solaris, FreeBSD ou NetBSD). Eles podem ser usados para parar ‘SSHD brute force scans’, portscans e outras formas de ataque. Você pode também realizar  bloqueios baseados nos alertas do snort, por exemplo.

3.5- Deseja habilitar o syslog remoto (514 udp)? (s/n) [s]: n [ Digite ‘n’ se não possuir um syslog remoto ]

— Syslog desabilitado.

3.6- Ajustando a configuração para analisar os seguintes logs:
— /var/log/messages
— /var/log/auth.log
— /var/log/syslog
— /var/log/mail.info
— /var/log/dpkg.log
— /var/log/apache2/error.log (apache log)
— /var/log/apache2/access.log (apache log)

– Se quiser monitorar qualquer outro arquivo, modifique
o ossec.conf e adicione uma nova entrada para o arquivo.
Qualquer dúvida sobre a configuração, visite http://www.ossec.net/hids/ .

— Pressione ENTER para continuar —

A seguinte mensagem surgirá após as mensagens do processo de instalação :

– O Sistema é Debian (Ubuntu or derivative).
– O script de inicialização foi modificado para executar o OSSEC HIDS durante o boot.

– Configuração finalizada corretamente.

– Para iniciar o OSSEC HIDS:
/var/ossec/bin/ossec-control start

– Para parar o OSSEC HIDS:
/var/ossec/bin/ossec-control stop

– A configuração pode ser vista ou modificada em /var/ossec/etc/ossec.conf

Obrigado por usar o OSSEC HIDS.
Se você tiver alguma pergunta, sugestão ou encontrar algum
“bug”, nos contate através do e-mail [email protected] ou
utilize nossa lista de e-mail:
( http://www.ossec.net/main/support/ ).

Maiores informações podem ser encontradas em http://www.ossec.net

—  Pressione ENTER para continuar  —

– Você precisa adicionar cada um dos clientes antes que estejam autorizados a acessar o servidor.
Execute o ‘manage_agents’ para adicioná-los ou removê-los:

/var/ossec/bin/manage_agents

Maiores informações em:
http://www.ossec.net/en/manual.html#ma

Feito. O Ossec server está instalado, agora iremos iniciá-lo. No pŕoximo artigo faremos a instalação do Ossec-WUI

/var/ossec/bin/ossec-control start

Starting OSSEC HIDS v2.2 (by Trend Micro Inc.)…
Started ossec-maild…
Started ossec-execd…
Started ossec-analysisd…
Started ossec-logcollector…
Started ossec-remoted…
Started ossec-syscheckd…
Started ossec-monitord…

Completed.

creysson.jpg

6 Comments

  1. Alexandro, é interessante ativar as respostas automáticas ? O OSSEC chega a desativar a conta do usuário por falso positivo ? Há algum perigo ? Vantagens ou desvantagens, se há desvantagens, são relevantes ?

    PS:. Estou usando a versão do OSSEC 2.5.1 no servidor, ainda está em testes.

    1. Olá Cassio,

      Sim. O ideal é habilitar estes recursos para obter toda a pro atividade da ferramenta.

      Abs,

      Alexos

  2. Caro Alessandro,

    Ao instalar e configurar o OSSEC SERVER , o servidor no qual ele foi instalado já estará sendo monitorado também?

    Atenciosamente,

Comments are closed.