Outils personnels

OSSEC installation

De wikiGite

Installation OSSEC

Il faut que gcc soit installé.

wget http://www.ossec.net/files/ossec-hids-latest.tar.gz
tar -xvzf ossec-hids-latest.tar.gz
cd ossec-hids-xxxxx
./install.sh

(note : pour une mise à jour il détecte l'ancienne installation et propose de la mettre à jour. Seul petit soucis : si on répond oui à la mise à jour des règles, il écrase aussi decoder.xml. Penser à y remettre postfix-auth)

Installation selon la doc "Securing Your Server With A Host-based Intrusion Detection System"

--> install dans /opt/ossec plutôt que /var

Il trouve les IP et les logs (même snort) tout seul.

Idem pour le serveur de mail : laisser celui du destinataire qu'il trouve via l'adresse mail qu'on lui fournit (voir plus bas)

Puis compilation ossec...

Messages de fin :

- Configuration correctement terminée.
- Pour démarrer OSSEC HIDS:
               /opt/ossec/bin/ossec-control start
- Pour arrêter OSSEC HIDS:
               /opt/ossec/bin/ossec-control stop

(ça marche aussi par /etc/init.d/ossec start/stop)

- La configuration peut être visualisée ou modifiée dans /opt/ossec/etc/ossec.conf

Un fichier de base ossec-init.conf est seulement créé dans /etc, la config se fait sous /opt/ossec/etc.

Editer /opt/ossec/etc/ossec.conf, mettre un destinataire mail valide (alertes@systea.net),changer éventuellement le "mail from" pour avoir un expediteur et/ou domaine correct

Copier local_rules.ml modifié si nécessaire (CentOS-BQ, ISPConfig)

A peaufiner : Ajouter la surveillance nmap :

<localfile>
  <log_format>nmapg</log_format>
  <location>/var/log/nmap-out.log</location>
</localfile>

(voir Sécurité/Sécurité - nmap-ossec)

ET ENLEVER LA SURVEILLANCE DU LOG DE SNORT, c'est plein de faux-positifs sur HTTP, trop restrictif.

  • modif local_rules pour ajouter des exclusions à ids.xml ?

OSSEC-WUI

wget http://www.ossec.net/files/ui/ossec-wui-0.2.tar.gz
tar -xvzf ossec-wui-0.2.tar.gz
mv ossec-wui-0.2 /var/www/ossec-wui
cd /var/www/ossec-wui
./setup.sh
  • Donner un nom/pwd pour le .htaccess + .htpasswd : admin/<mot_de_passe_admin>

Editer /var/www/ossec-wui//var/www/ossec-wui, changer le répertoire racine d'Ossec si nécessaire

Créer un alias dans /etc/apache2/conf.d/ossec.conf :

<IfModule mod_alias.c>
  Alias /ossec-wui "/var/www/ossec-wui"
</IfModule>

<DirectoryMatch /var/www/ossec-wui/>
  Options -FollowSymLinks
  AllowOverride All
  order deny,allow
#  deny from all
#  allow from 127.0.0.0/255.0.0.0
</DirectoryMatch>

Ajouter www-data dans le groupe ossec dans /etc/group

Redémarrer Apache

SNORT LOG ANALYSIS : modif logs snort pour analysis par ossec. (A venir)

Affinage alertes mails

Le niveau d'alertes est défini par le bloc <alerts>, mais ce niveau est annulé par l'option "email_by_alert" ou "no_email_alert" qui peut être placée sur les règles (stanza "options").

  • ajouter <stats>0</stats> à globals pour éviter les "excessive number of..."
  • enlever les alert_by_email sur les règles 1002,10100 (syslog_rules.xml)