OSSEC installation : Différence entre versions
De wikiGite
| Ligne 10 : | Ligne 10 : | ||
Installation selon la doc "Securing Your Server With A Host-based Intrusion Detection System" | Installation selon la doc "Securing Your Server With A Host-based Intrusion Detection System" | ||
| − | + | *choisir la langue | |
| − | + | *Valider l'écran de résumé du système | |
| − | Il | + | *choisir installation type local |
| − | + | *install dans /opt/ossec plutôt que /var | |
| − | + | *alerte mail : OUI. Il doit trouver le serveur de mail à partir de l'adresse qu'on lui donne. | |
| + | *démon de vérification d'intégrité (syscheck) : OUI | ||
| + | *moteur de détection de rootkit (rootcheck) : OUI | ||
| + | * réponse active : OUI | ||
| + | ** pare-feu ? : OUI | ||
| + | *Ajouter l'adresse fixe local dans la white list | ||
Puis compilation ossec... | Puis compilation ossec... | ||
| Ligne 28 : | Ligne 33 : | ||
Un fichier de base ossec-init.conf est seulement créé dans /etc, la config se fait sous /opt/ossec/etc. | Un fichier de base ossec-init.conf est seulement créé dans /etc, la config se fait sous /opt/ossec/etc. | ||
| − | |||
| − | |||
Copier local_rules.ml modifié si nécessaire (CentOS-BQ, ISPConfig) | Copier local_rules.ml modifié si nécessaire (CentOS-BQ, ISPConfig) | ||
A peaufiner : | A peaufiner : | ||
| − | Ajouter la surveillance nmap : | + | Ajouter la surveillance nmap (nécessite d'installer nmap et de le lancer régulièrement): |
<localfile> | <localfile> | ||
<log_format>nmapg</log_format> | <log_format>nmapg</log_format> | ||
| Ligne 43 : | Ligne 46 : | ||
ET ENLEVER LA SURVEILLANCE DU LOG DE SNORT, c'est plein de faux-positifs sur HTTP, trop restrictif. | ET ENLEVER LA SURVEILLANCE DU LOG DE SNORT, c'est plein de faux-positifs sur HTTP, trop restrictif. | ||
*modif local_rules pour ajouter des exclusions à ids.xml ? | *modif local_rules pour ajouter des exclusions à ids.xml ? | ||
| + | |||
| + | OSSEC n'est pas démarré après l'installation. Penser à le lancer. | ||
== OSSEC-WUI == | == OSSEC-WUI == | ||
Version du 3 décembre 2008 à 17:52
Sommaire
Installation OSSEC
Il faut que gcc soit installé.
wget http://www.ossec.net/files/ossec-hids-latest.tar.gz tar -xvzf ossec-hids-latest.tar.gz cd ossec-hids-xxxxx ./install.sh
(note : pour une mise à jour il détecte l'ancienne installation et propose de la mettre à jour. Seul petit soucis : si on répond oui à la mise à jour des règles, il écrase aussi decoder.xml. Penser à y remettre postfix-auth)
Installation selon la doc "Securing Your Server With A Host-based Intrusion Detection System"
- choisir la langue
- Valider l'écran de résumé du système
- choisir installation type local
- install dans /opt/ossec plutôt que /var
- alerte mail : OUI. Il doit trouver le serveur de mail à partir de l'adresse qu'on lui donne.
- démon de vérification d'intégrité (syscheck) : OUI
- moteur de détection de rootkit (rootcheck) : OUI
- réponse active : OUI
- pare-feu ? : OUI
- Ajouter l'adresse fixe local dans la white list
Puis compilation ossec...
Messages de fin :
- Configuration correctement terminée.
- Pour démarrer OSSEC HIDS:
/opt/ossec/bin/ossec-control start
- Pour arrêter OSSEC HIDS:
/opt/ossec/bin/ossec-control stop
(ça marche aussi par /etc/init.d/ossec start/stop)
- La configuration peut être visualisée ou modifiée dans /opt/ossec/etc/ossec.conf
Un fichier de base ossec-init.conf est seulement créé dans /etc, la config se fait sous /opt/ossec/etc.
Copier local_rules.ml modifié si nécessaire (CentOS-BQ, ISPConfig)
A peaufiner : Ajouter la surveillance nmap (nécessite d'installer nmap et de le lancer régulièrement):
<localfile> <log_format>nmapg</log_format> <location>/var/log/nmap-out.log</location> </localfile>
(voir Sécurité/Sécurité - nmap-ossec)
ET ENLEVER LA SURVEILLANCE DU LOG DE SNORT, c'est plein de faux-positifs sur HTTP, trop restrictif.
- modif local_rules pour ajouter des exclusions à ids.xml ?
OSSEC n'est pas démarré après l'installation. Penser à le lancer.
OSSEC-WUI
wget http://www.ossec.net/files/ui/ossec-wui-0.2.tar.gz tar -xvzf ossec-wui-0.2.tar.gz mv ossec-wui-0.2 /var/www/ossec-wui cd /var/www/ossec-wui ./setup.sh
- Donner un nom/pwd pour le .htaccess + .htpasswd : admin/<mot_de_passe_admin>
Editer /var/www/ossec-wui//var/www/ossec-wui, changer le répertoire racine d'Ossec si nécessaire
Créer un alias dans /etc/apache2/conf.d/ossec.conf :
<IfModule mod_alias.c> Alias /ossec-wui "/var/www/ossec-wui" </IfModule> <DirectoryMatch /var/www/ossec-wui/> Options -FollowSymLinks AllowOverride All order deny,allow # deny from all # allow from 127.0.0.0/255.0.0.0 </DirectoryMatch>
Ajouter www-data dans le groupe ossec dans /etc/group
Redémarrer Apache
SNORT LOG ANALYSIS : modif logs snort pour analysis par ossec. (A venir)
Affinage alertes mails
Le niveau d'alertes est défini par le bloc <alerts>, mais ce niveau est annulé par l'option "email_by_alert" ou "no_email_alert" qui peut être placée sur les règles (stanza "options").
- ajouter <stats>0</stats> à globals pour éviter les "excessive number of..."
- enlever les alert_by_email sur les règles 1002,10100 (syslog_rules.xml)
