você está aqui: Home  → Arquivo de Mensagens Programação Shell Linux: Inscrições Abertas

Instalando o Ossec-HIDS agent

Colaboração: Alexandro Silva

Data de Publicação: 03 de Outubro de 2009

Para finalizar nossa trilogia, iremos instalar o Ossec HIDS em outro host mas dessa vez como agente. Após a instalação veremos como ele será apresentado no Ossec-WUI.

Em outro host faremos o download do Ossec HIDS e iniciaremos a instalação seguindo os mesmos passos realizados no servidor

Instale as dependências necessárias

aptitude -y build-essential

Baixe o Ossec HIDS

wget -c http://www.ossec.net/files/ossec-hids-2.2.tar.gz

Descompacte o arquivo e inicie a instalação

tar -xvf  ossec-hids-2.2.tar.gz
cd ossec-hids-2.2

./install

OSSEC HIDS v2.2 Script de instalação - http://www.ossec.net

Você está iniciando o processo de instalação do OSSEC HIDS.
Você precisará de um compilador C pré-instalado em seu sistema.
Qualquer dúvida, sugestões ou comentários, por favor, mande um e-mail para
dcid@ossec.net (ou daniel.cid@gmail.com).

- Sistema: Linux debian 2.6.26-2-686
- Usuário: root
- Host: debian

— Aperte ENTER para continuar ou Ctrl+C para abortar. --

1- Que tipo de instalação você deseja (servidor, cliente, local ou ajuda)? cliente [ Digite 'cliente' ]

- Escolhida instalação cliente.

2- Configurando o ambiente de instalação.

- Escolha onde instalar o OSSEC HIDS [/var/ossec]: [Pressione ENTER]

- A instalação será feita no diretório /var/ossec .

3- Configurando o OSSEC HIDS.

3.1- Qual é o endereço de IP do servidor OSSEC HIDS?: [ Informe o IP do servidor instalado anteriormente ]

xxx.xx.xxx.xxx

- Adicionando IP do servidor xxx.xx.xxx.xxx

3.2- Deseja habilitar o sistema de verificação de integridade? (s/n) [s]: [Pressione ENTER]

- Syscheck (Sistema de verificação de integridade) habilitado.

3.3- Deseja habilitar o sistema de detecção de rootkis? (s/n) [s]: [Pressione ENTER]

- Rootcheck (Sistema de detecção de rootkits) habilitado.

3.4 - Deseja habilitar o sistema de respostas automáticas? (s/n) [s]: n [ Digite 'n' ]

- Sistema de respostas automáticas desabilitado.

3.5- Ajustando a configuração para analisar os seguintes logs:
— /var/log/messages
— /var/log/auth.log
— /var/log/syslog
— /var/log/mail.info
— /var/log/dpkg.log

- Se quiser monitorar qualquer outro arquivo, modifique
o ossec.conf e adicione uma nova entrada para o arquivo.
Qualquer dúvida sobre a configuração, visite http://www.ossec.net/hids/ .

—- Pressione ENTER para continuar ---

Após as mensagens do processo de instalação aparecerão as linhas abaixo:

- O Sistema é Debian (Ubuntu or derivative).
- O script de inicialização foi modificado para executar o OSSEC HIDS durante o boot.

- Configuração finalizada corretamente.

- Para iniciar o OSSEC HIDS:

/var/ossec/bin/ossec-control start

- Para parar o OSSEC HIDS: 
/var/ossec/bin/ossec-control stop

- A configuração pode ser vista ou modificada em ``/var/ossec/etc/ossec.conf``

Obrigado por usar o OSSEC HIDS.
Se você tiver alguma pergunta, sugestão ou encontrar algum
"bug", nos contate através do e-mail contact@ossec.net ou
utilize nossa lista de e-mail:
( http://www.ossec.net/main/support/ ).

Mais informações podem ser encontradas em http://www.ossec.net

—-  Pressione ENTER para continuar  ---

- Para se comunicar com o servidor, você primeiro precisa
adicionar este cliente a ele. Quando você tiver terminado,
use a ferramenta 'manage_agents' para importar a chave de
autenticação do servidor.

/var/ossec/bin/manage_agents

Mais informações em http://www.ossec.net/en/manual.html#ma

Agora iremos adicionar este agente no servidor instalado anteriormente

No servidor execute os seguintes passos

Execute o manage_agents

/var/ossec/bin/manage_agents

****************************************
* OSSEC HIDS v2.2 Agent manager.     *
* The following options are available: *
****************************************
(A)dd an agent (A).
(E)xtract key for an agent (E).
(L)ist already added agents (L).
(R)emove an agent (R).
(Q)uit.
Choose your action: A,E,L,R or Q: [ Digite A para adicionar um agente ]

- Adding a new agent (use '\q' to return to the main menu).
Please provide the following:
* A name for the new agent: teste< strong> [ Digite o nome do agente ]</strong>
* The IP Address of the new agent: xxx.xxx.xxx.xxx< strong> [ Digite o IP do agente ]</strong>
* An ID for the new agent[001]: [ Pressione ENTER ou informe um ID ]
Agent information:
ID:001
Name:teste
IP Address:xxx.xxx.xxx.xxx

Confirm adding it?(y/n): y [ Digite 'y' ]

Agent added.

****************************************
* OSSEC HIDS v2.2 Agent manager.     *
* The following options are available: *
****************************************
(A)dd an agent (A).
(E)xtract key for an agent (E).
(L)ist already added agents (L).
(R)emove an agent (R).
(Q)uit.
Choose your action: A,E,L,R or Q:  E [ Digite 'E' para obter a chave do agente ]

Available agents:
ID: 001, Name: teste, IP: xxx.xxx.xxx.xxx
Provide the ID of the agent to extract the key (or '\q' to quit): 001 [ Informe o ID do agente ]

Agent key information for '001' is:  [ Guarde esta chave para adicionar na configuração do agente ]
MDAxIHRlc3RlIDE3Mi4xNi4wLjYgZmRkMDRiM2EyNThlYWM0ZWQ5ODU1NWZmNGY0NjM3YTVjMDI2MzA5NTg1Y2M5NjgyODczNjIxMTdiMzhlZWFlYw==

** Press ENTER to return to the main menu.

****************************************
* OSSEC HIDS v2.2 Agent manager.     *
* The following options are available: *
****************************************
(A)dd an agent (A).
(E)xtract key for an agent (E).
(L)ist already added agents (L).
(R)emove an agent (R).
(Q)uit.
Choose your action: A,E,L,R or Q:  Q [ Digite 'Q'para sair ]
Reinicie o Ossec Server

/var/ossec/bin/ossec-control restart

Agora iremos configurar o agente Ossec

Execute o manage_agents

/var/ossec/bin/manage_agents

****************************************
* OSSEC HIDS v2.2 Agent manager.     *
* The following options are available: *
****************************************
(I)mport key from the server (I).
(Q)uit.
Choose your action: I or Q: I [ Digite 'I' ]

* Provide the Key generated by the server.
* The best approach is to cut and paste it.
*** OBS: Do not include spaces or new lines.

Paste it here (or '\q' to quit): [ Informe aqui a chave gerada pelo Ossec server ] MDAxIHRlc3RlIDE3Mi4xNi4wLjYgZmRkMDRiM2EyNThlYWM0ZWQ5ODU1NWZmNGY0NjM3YTVjMDI2MzA5NTg1Y2M5NjgyODczNjIxMTdiMzhlZWFlYw==

Agent information:
ID:001
Name:teste
IP Address:xxx.xxx.xxx.xxx

Confirm adding it?(y/n): y [ Digite 'y' ]

Added.
** Press ENTER to return to the main menu.

****************************************
* OSSEC HIDS v2.2 Agent manager.     *
* The following options are available: *
****************************************
(I)mport key from the server (I).
(Q)uit.
Choose your action: I or Q: Q [ Digite 'Q' para sair ]

** You must restart the server for your changes to have effect.

manage_agents: Exiting ..
Reinicie o Ossec agent

/var/ossec/bin/ossec-control restart

Acesse o Ossec-WUI e confirme se o agente está sendo monitorado como nos screens abaixo:

Site do autor: http://blog.alexos.com.br


Veja a relação completa dos artigos de Alexandro Silva