Assine a Lista Dicas-L
Receba diariamente por email as dicas
de informática publicadas neste site
Para se descadastrar, clique aqui.
Instalando o Ossec HIDS Server
Colaboração: Alexandro Silva
Data de Publicação: 01 de Outubro de 2009
O OSSEC é um escalável, multi-plataforma, e open source HIDS. Ele integra análise de log, checagem de integridade de arquivos, monitoramento do registro do Windows, politica centralizada, detecção de rootkit, alerta em tempo real e resposta automática.
Nesta série de 03 artigos faremos a instalação do Ossec como servidor, da interface Web do Ossec e de um agente.
Agora é a hora da diversão!!!
Instale as dependências necessárias para o Ossec e Ossec-WUI
aptitude -y install apache2 python openssl php5 php-pear php5-xsl curl libcurl3 libcurl3-dev php5-curl build-essential libmysqlclient-dev libssl-dev libsnmp-dev libapache2-mod-php5 php5-gd
Baixe o Ossec
wget -c http://www.ossec.net/files/ossec-hids-2.2.tar.gz
Descompacte o arquivo e acesse o diretório criado
tar -xvf ossec-hids-2.2.tar.gz cd ossec-hids-2.2
Execute o arquivo install.sh para iniciar a instalação do Ossec
./install.sh ** Para instalação em português, escolha [br]. ** Fur eine deutsche Installation wohlen Sie [de]. ** For installation in English, choose [en]. ** Para instalar en Español , eliga [es]. ** Pour une installation en français, choisissez [fr] ** Per l'installazione in Italiano, scegli [it]. ** Voor installatie in het Nederlands, kies [nl]. ** Aby instalować w języku Polskim, wybierz [pl]. ** Za instalaciju na srpskom, izaberi [sr]. ** Türkçe kurulum için seçin [tr]. (en/br/cn/de/el/es/fr/it/jp/nl/pl/ru/sr/tr) [en]: br [ Digite o idioma para instalação] OSSEC HIDS v2.2 Script de instalação - http://www.ossec.net Você está iniciando o processo de instalação do OSSEC HIDS. Você precisará de um compilador C pré-instalado em seu sistema. Qualquer dúvida, sugestões ou comentários, por favor, mande um e-mail para dcid@ossec.net (ou daniel.cid@gmail.com). - Sistema: Linux debian 2.6.26-2-686 - Usuário: root - Host: debian -- Aperte ENTER para continuar ou Ctrl+C para abortar. -- 1- Que tipo de instalação você deseja (servidor, cliente, local ou ajuda)? servidor [ Digite a opção 'servidor'] - Escolhida instalação servidor. 2- Configurando o ambiente de instalação. - Escolha onde instalar o OSSEC HIDS [/var/ossec]: [Pressione ENTER] - A instalação será feita no diretório /var/ossec . 3- Configurando o OSSEC HIDS. 3.1- Deseja receber notificações por e-mail? (s/n) [s]: [Pressione ENTER] - Qual é o seu endereço de e-mail? alexos-alertas@gmail.com [INFORME SEU EMAIL AQUI] - Seu servidor SMTP foi encontrado como: gmail-smtp-in.l.google.com. - Deseja usá-lo? (s/n) [s]: [Pressione ENTER] --- Usando servidor SMTP: gmail-smtp-in.l.google.com. 3.2- Deseja habilitar o sistema de verificação de integridade? (s/n) [s]: [Pressione ENTER] - Syscheck (Sistema de verificação de integridade) habilitado. 3.3- Deseja habilitar o sistema de detecção de rootkis? (s/n) [s]: [Pressione ENTER] - Deseja habilitar o sistema de respostas automáticas? (s/n) [s]: n [ LEIA A NOTA SOBRE ESTE ITEM ]
NOTA: O sistema de respostas automáticas por padrão pode habilitar
o 'host-deny' e o 'firewall-drop'. O primeiro adicionará um host ao
/etc/hosts.deny e o segundo bloqueará o host no 'iptables' (se linux) ou no
ipfilter (se Solaris, FreeBSD ou NetBSD). Eles podem ser usados para parar
'SSHD brute force scans', portscans e outras formas de ataque. Você pode
também realizar bloqueios baseados nos alertas do snort, por exemplo.
3.5- Deseja habilitar o syslog remoto (514 udp)? (s/n) [s]: n [ Digite 'n' se não possuir um syslog remoto ] --- Syslog desabilitado. 3.6- Ajustando a configuração para analisar os seguintes logs: -- /var/log/messages -- /var/log/auth.log -- /var/log/syslog -- /var/log/mail.info -- /var/log/dpkg.log -- /var/log/apache2/error.log (apache log) -- /var/log/apache2/access.log (apache log) - Se quiser monitorar qualquer outro arquivo, modifique o ossec.conf e adicione uma nova entrada para o arquivo. Qualquer dúvida sobre a configuração, visite http://www.ossec.net/hids/ . --- Pressione ENTER para continuar ---
A seguinte mensagem surgirá após as mensagens do processo de instalação :
- O Sistema é Debian (Ubuntu or derivative). - O script de inicialização foi modificado para executar o OSSEC HIDS durante o boot. - Configuração finalizada corretamente. - Para iniciar o OSSEC HIDS: /var/ossec/bin/ossec-control start - Para parar o OSSEC HIDS: /var/ossec/bin/ossec-control stop - A configuração pode ser vista ou modificada em /var/ossec/etc/ossec.conf Obrigado por usar o OSSEC HIDS. Se você tiver alguma pergunta, sugestão ou encontrar algum "bug", nos contate através do e-mail contact@ossec.net ou utilize nossa lista de e-mail: ( http://www.ossec.net/main/support/ ). Maiores informações podem ser encontradas em http://www.ossec.net --- Pressione ENTER para continuar ---
Você precisa adicionar cada um dos clientes antes que estejam autorizados a acessar o servidor. Execute o 'manage_agents' para adicioná-los ou removê-los:
/var/ossec/bin/manage_agents
Mais informações em http://www.ossec.net/en/manual.html#ma
Feito. O Ossec server está instalado, agora iremos iniciá-lo. No próximo artigo faremos a instalação do Ossec-WUI
/var/ossec/bin/ossec-control start Starting OSSEC HIDS v2.2 (by Trend Micro Inc.)... Started ossec-maild... Started ossec-execd... Started ossec-analysisd... Started ossec-logcollector... Started ossec-remoted... Started ossec-syscheckd... Started ossec-monitord... Completed.
Site do autor http://blog.alexos.com.br
Referências Adicionais
Referências adicionais sobre os assuntos abordados neste site podem ser encontradas em nossa Bibliografia.
