você está aqui: Home  → Arquivo de Mensagens Programação Shell Linux: Inscrições Abertas

Instalando o Ossec HIDS Server

Colaboração: Alexandro Silva

Data de Publicação: 01 de Outubro de 2009

O OSSEC é um escalável, multi-plataforma, e open source HIDS. Ele integra análise de log, checagem de integridade de arquivos, monitoramento do registro do Windows, politica centralizada, detecção de rootkit, alerta em tempo real e resposta automática.

Nesta série de 03 artigos faremos a instalação do Ossec como servidor, da interface Web do Ossec e de um agente.

Agora é a hora da diversão!!!

Instale as dependências necessárias para o Ossec e Ossec-WUI

aptitude -y install apache2 python openssl php5 php-pear php5-xsl curl
libcurl3 libcurl3-dev php5-curl build-essential libmysqlclient-dev libssl-dev
libsnmp-dev libapache2-mod-php5 php5-gd

Baixe o Ossec

wget -c http://www.ossec.net/files/ossec-hids-2.2.tar.gz

Descompacte o arquivo e acesse o diretório criado

tar -xvf ossec-hids-2.2.tar.gz
cd ossec-hids-2.2

Execute o arquivo install.sh para iniciar a instalação do Ossec

./install.sh

** Para instalação em português, escolha [br].
** Fur eine deutsche Installation wohlen Sie [de].
** For installation in English, choose [en].
** Para instalar en Español , eliga [es].
** Pour une installation en français, choisissez [fr]
** Per l'installazione in Italiano, scegli [it].
** Voor installatie in het Nederlands, kies [nl].
** Aby instalować w języku Polskim, wybierz [pl].
** Za instalaciju na srpskom, izaberi [sr].
** Türkçe kurulum için seçin [tr].
(en/br/cn/de/el/es/fr/it/jp/nl/pl/ru/sr/tr) [en]: br [ Digite o idioma para instalação]

OSSEC HIDS v2.2 Script de instalação - http://www.ossec.net

Você está iniciando o processo de instalação do OSSEC HIDS.
Você precisará de um compilador C pré-instalado em seu sistema.
Qualquer dúvida, sugestões ou comentários, por favor, mande um e-mail para
dcid@ossec.net (ou daniel.cid@gmail.com).

- Sistema: Linux debian 2.6.26-2-686
- Usuário: root
- Host: debian

— Aperte ENTER para continuar ou Ctrl+C para abortar. --

1- Que tipo de instalação você deseja (servidor, cliente, local ou ajuda)? servidor [ Digite a opção 'servidor']

- Escolhida instalação servidor.

2- Configurando o ambiente de instalação.

- Escolha onde instalar o OSSEC HIDS [/var/ossec]: [Pressione ENTER]

- A instalação será feita no diretório /var/ossec .

3- Configurando o OSSEC HIDS.

3.1- Deseja receber notificações por e-mail? (s/n) [s]: [Pressione ENTER]

- Qual é o seu endereço de e-mail? alexos-alertas@gmail.com [INFORME SEU EMAIL AQUI]
- Seu servidor SMTP foi encontrado como: gmail-smtp-in.l.google.com.
- Deseja usá-lo? (s/n) [s]: [Pressione ENTER]
—- Usando servidor SMTP:  gmail-smtp-in.l.google.com.

3.2- Deseja habilitar o sistema de verificação de integridade? (s/n) [s]: [Pressione ENTER]

- Syscheck (Sistema de verificação de integridade) habilitado.

3.3- Deseja habilitar o sistema de detecção de rootkis? (s/n) [s]: [Pressione ENTER]

- Deseja habilitar o sistema de respostas automáticas? (s/n) [s]: n [ LEIA A NOTA SOBRE ESTE ITEM ]

NOTA: O sistema de respostas automáticas por padrão pode habilitar o 'host-deny' e o 'firewall-drop'. O primeiro adicionará um host ao /etc/hosts.deny e o segundo bloqueará o host no 'iptables' (se linux) ou no ipfilter (se Solaris, FreeBSD ou NetBSD). Eles podem ser usados para parar 'SSHD brute force scans', portscans e outras formas de ataque. Você pode também realizar bloqueios baseados nos alertas do snort, por exemplo.

3.5- Deseja habilitar o syslog remoto (514 udp)? (s/n) [s]: n [ Digite 'n' se não possuir um syslog remoto ]

—- Syslog desabilitado.

3.6- Ajustando a configuração para analisar os seguintes logs:
— /var/log/messages
— /var/log/auth.log
— /var/log/syslog
— /var/log/mail.info
— /var/log/dpkg.log
— /var/log/apache2/error.log (apache log)
— /var/log/apache2/access.log (apache log)

- Se quiser monitorar qualquer outro arquivo, modifique
o ossec.conf e adicione uma nova entrada para o arquivo.
Qualquer dúvida sobre a configuração, visite http://www.ossec.net/hids/ .

—- Pressione ENTER para continuar ---

A seguinte mensagem surgirá após as mensagens do processo de instalação :

- O Sistema é Debian (Ubuntu or derivative).
- O script de inicialização foi modificado para executar o OSSEC HIDS durante o boot.

- Configuração finalizada corretamente.

- Para iniciar o OSSEC HIDS:
/var/ossec/bin/ossec-control start

- Para parar o OSSEC HIDS:
/var/ossec/bin/ossec-control stop

- A configuração pode ser vista ou modificada em /var/ossec/etc/ossec.conf

Obrigado por usar o OSSEC HIDS.
Se você tiver alguma pergunta, sugestão ou encontrar algum
"bug", nos contate através do e-mail contact@ossec.net ou
utilize nossa lista de e-mail:
( http://www.ossec.net/main/support/ ).

Maiores informações podem ser encontradas em http://www.ossec.net

—-  Pressione ENTER para continuar  ---

Você precisa adicionar cada um dos clientes antes que estejam autorizados a acessar o servidor. Execute o 'manage_agents' para adicioná-los ou removê-los:

/var/ossec/bin/manage_agents

Mais informações em http://www.ossec.net/en/manual.html#ma

Feito. O Ossec server está instalado, agora iremos iniciá-lo. No próximo artigo faremos a instalação do Ossec-WUI

/var/ossec/bin/ossec-control start

Starting OSSEC HIDS v2.2 (by Trend Micro Inc.)...
Started ossec-maild...
Started ossec-execd...
Started ossec-analysisd...
Started ossec-logcollector...
Started ossec-remoted...
Started ossec-syscheckd...
Started ossec-monitord...

Completed.
Site do autor http://blog.alexos.com.br


Veja a relação completa dos artigos de Alexandro Silva