O
OSSEC é um HIDS (
Host-based intrusion detection systems) escalável, multi-plataforma e open source. Ele integra análise de log, checagem de integridade de arquivos, monitoramento do registro do Windows, política centralizada, detecção de
rootkit, alerta em tempo real e resposta automática.
Nesta série de 03 artigos faremos a instalação do Ossec como servidor, da interface Web do Ossec e de um agente.
Agora é a hora da diversão!!!
Instale as dependências necessárias para o Ossec e Ossec-WUI.
# aptitude -y install apache2 python openssl php5 php-pear php5-xsl curl libcurl3 libcurl3-dev php5-curl build-essential libmysqlclient-dev libssl-dev libsnmp-dev libapache2-mod-php5 php5-gd
Baixe o Ossec:
# wget -c http://www.ossec.net/files/ossec-hids-2.2.tar.gz
Descompacte o arquivo e acesse o diretório criado:
# tar -xvf ossec-hids-2.2.tar.gz
# cd ossec-hids-2.2
Execute o arquivo install.sh para iniciar a instalação do Ossec.
# ./install.sh
** Para instalação em português, escolha [br].
** Fur eine deutsche Installation wohlen Sie [de].
** For installation in English, choose [en].
** Para instalar en Español , eliga [es].
** Pour une installation en français, choisissez [fr]
** Per l'installazione in Italiano, scegli [it].
** Voor installatie in het Nederlands, kies [nl].
** Aby instalować w języku Polskim, wybierz [pl].
** Za instalaciju na srpskom, izaberi [sr].
** Türkçe kurulum için seçin [tr].
(en/br/cn/de/el/es/fr/it/jp/nl/pl/ru/sr/tr) [en]:
br [ Digite o idioma para instalação]
OSSEC HIDS v2.2 Script de instalação - http://www.ossec.net
Você está iniciando o processo de instalação do OSSEC HIDS.
Você precisará de um compilador C pré-instalado em seu sistema.
Qualquer dúvida, sugestões ou comentários, por favor, mande um e-mail para
dcid@ossec.net (ou daniel.cid@gmail.com).
- Sistema:
Linux debian 2.6.26-2-686
- Usuário: root
- Host: debian
-- Aperte ENTER para continuar ou Ctrl+C para abortar. --
1. Que tipo de instalação você deseja (servidor, cliente, local ou ajuda)?
servidor [ Digite a opção 'servidor']
- Escolhida instalação servidor.
2. Configurando o ambiente de instalação.
- Escolha onde instalar o OSSEC HIDS [/var/ossec]:
[Pressione ENTER]
- A instalação será feita no diretório /var/ossec .
3. Configurando o OSSEC HIDS.
3.1. Deseja receber notificações por e-mail? (s/n) [s]:
[Pressione ENTER]
- Qual é o seu endereço de e-mail? alexos-alertas@gmail.com
[INFORME SEU EMAIL AQUI]
- Seu servidor SMTP foi encontrado como: gmail-smtp-in.l.google.com.
- Deseja usá-lo? (s/n) [s]:
[Pressione ENTER]
--- Usando servidor SMTP: gmail-smtp-in.l.google.com.
3.2. Deseja habilitar o sistema de verificação de integridade? (s/n) [s]:
[Pressione ENTER]
- Syscheck (Sistema de verificação de integridade) habilitado.
3.3. Deseja habilitar o sistema de detecção de rootkis? (s/n) [s]:
[Pressione ENTER]
- Deseja habilitar o sistema de respostas automáticas? (s/n) [s]:
n [ LEIA A NOTA SOBRE ESTE ITEM ]
NOTA: O sistema de respostas automáticas por padrão pode habilitar o 'host-deny' e o 'firewall-drop'. O primeiro adicionará um host ao
/etc/hosts.deny e o segundo bloqueará o host no 'iptables' (se Linux) ou no ipfilter (se Solaris, FreeBSD ou NetBSD).
Eles podem ser usados para parar 'SSHD brute force scans', portscans e outras formas de ataque. Você pode também realizar bloqueios baseados nos alertas do snort, por exemplo.
3.5. Deseja habilitar o syslog remoto (514 udp)? (s/n) [s]:
n [ Digite 'n' se não possuir um syslog remoto ]
--- Syslog desabilitado.
3.6. Ajustando a configuração para analisar os seguintes logs:
-- /var/log/messages
-- /var/log/auth.log
-- /var/log/syslog
-- /var/log/mail.info
-- /var/log/dpkg.log
-- /var/log/apache2/error.log (apache log)
-- /var/log/apache2/access.log (apache log)
- Se quiser monitorar qualquer outro arquivo, modifique
o ossec.conf e adicione uma nova entrada para o arquivo.
Qualquer dúvida sobre a configuração, visite http://www.ossec.net/hids/ .
--- Pressione ENTER para continuar ---
A seguinte mensagem surgirá após as mensagens do processo de instalação:
- O Sistema é Debian (Ubuntu or derivative).
- O script de inicialização foi modificado para executar o OSSEC HIDS durante o boot.
- Configuração finalizada corretamente.
- Para iniciar o OSSEC HIDS:
/var/ossec/bin/ossec-control start
- Para parar o OSSEC HIDS:
/var/ossec/bin/ossec-control stop
- A configuração pode ser vista ou modificada em /var/ossec/etc/ossec.conf
Obrigado por usar o OSSEC HIDS.
Se você tiver alguma pergunta, sugestão ou encontrar algum
"bug", nos contate através do e-mail contact@ossec.net ou
utilize nossa lista de e-mail:
( http://www.ossec.net/main/support/ ).
Maiores informações podem ser encontradas em http://www.ossec.net
--- Pressione ENTER para continuar ---
Você precisa adicionar cada um dos clientes antes que estejam autorizados a acessar o servidor. Execute o 'manage_agents' para adicioná-los ou removê-los:
# /var/ossec/bin/manage_agents
Mais informações em:
http://www.ossec.net/en/manual.html#ma
Feito! O Ossec server está instalado, agora iremos iniciá-lo. No próximo passo faremos a instalação do Ossec-WUI.
# /var/ossec/bin/ossec-control start
Starting OSSEC HIDS v2.2 (by Trend Micro Inc.)...
Started ossec-maild...
Started ossec-execd...
Started ossec-analysisd...
Started ossec-logcollector...
Started ossec-remoted...
Started ossec-syscheckd...
Started ossec-monitord...
Completed.
Brincando com o plugin do Nessus para o Metasploit
Versão para impressora
Indicar para um amigo
Enviar artigo