você está aqui: Home  → Arquivo de Mensagens

Ossec HIDS 2.6 Beta Testing - Novas funcionalidades

Colaboração: Alexandro Silva

Data de Publicação: 20 de junho de 2011

O Ossec HIDS 2.6 está no forno. A versão beta desta que para mim é uma das melhores ferramentas de segurança da atualidade foi anunciada recentemente pelo Daniel Cid, criador e principal mantenedor.

Venho acompanhando a evolução desta versão através do respositório no Bitbucket.

Vejam algumas funcionalidades anunciadas:

  • Suporte IPv6
  • Novas regras para OpenBSD, Clamav, BRO-ids, active response logs,etc
  • Criação e configuração automatizada das chaves dos agentes através do os-authd
  • Melhorias nos relatórios de alteração dos arquivos
  • Bloqueio contra tentativas de intrusão repetitivas

Algumas destas novas funcionalidades estão sendo bastante úteis no meu dia a dia.

Relatórios de alteração dos arquivos

A checagem de integridade faz parte do Ossec desde de sua criação. Este versão diponibiliza uma relatório mais apurado dos arquivos alterados. Um exemplo interessante é o monitoramento das alterações dentro do diretório /var/www. Para isso adicione uma tag directories dentro do arquivo /var/ossec/etc/ossec.conf com as seguintes opções:

  realtime="yes"
  report_changes="yes"

Info:

  • realtime - Fará o monitoramento em tempo real do diretório
  • report_changes - Informará o que foi alterado em um arquivo

OBS: Outras opções podem ser encontradas no Manual do Ossec HIDS

Segue o exemplo de um simples relatório gerado após está alteração:

  zcat /var/ossec/logs/alerts/2011/May/*.gz | /var/ossec/bin/ossec-reportd
  Top entries for 'Filenames':
  ------ ------ ------ ------ ------ -------
  /etc/apache2/sites-available/XXX..   | 3 |
  /etc/apache2/sites-enabled/XXX       | 3 |
  /etc/ld.so.cache                     | 2 |
  /etc/ossec-init.conf                 | 2 |
  /etc/alternatives/www-browser        | 1 |
  /etc/alternatives/www-browser.1.gz   | 1 |
  /etc/apache2/sites-available/XXX     | 1 |
  /etc/apache2/sites-enabled/XXX       | 1 |
  /etc/init.d/.depend.boot             | 1 |
  /etc/init.d/.depend.start            | 1 |
  /etc/init.d/.depend.stop             | 1 |
  /etc/mailcap                         | 1 |
  /usr/bin/www-browser                 | 1 |

Bloqueio contra tentativas de intrusão repetitivas

Isso soa como música para meus ouvidos. Venho usando esta funcionalidade a algum tempo e realmente faz a diferença em servidores muito visados com os de FTP por exemplo. Para habilitá-la siga o exemplo apresentado no blog do DCid

Os desenvolvedores do Ossec HIDS estão mandando muito bem. Por enquanto não estou encontrando bugs nos testes desta versão beta, tenham certeza que eles estão sendo realizados em sistemas onde as tentativas de invasão são constantes.

Blog do autor: http://alexos.org


Veja a relação completa dos artigos de Alexandro Silva

 

 

Opinião dos Leitores

Seja o primeiro a comentar este artigo
*Nome:
Email:
Me notifique sobre novos comentários nessa página
Oculte meu email
*Texto:
 
  Para publicar seu comentário, digite o código contido na imagem acima
 


Powered by Scriptsmill Comments Script