OSSEC é um Open Source Host-Based Intrusion Detection System. Ele executa análise de logs, verificação de integridade de arquivos, acompanhamento de políticas, detecção de rootkits, alertas em tempo real e resposta ativa.
Instale as dependências necessárias
aptitude -y build-essential
Baixe o Ossec HIDS
wget -c http://www.ossec.net/files/ossec-hids-2.2.tar.gz
Descompacte o arquivo e inicie a instalação
tar -xvf ossec-hids-2.2.tar.gz
cd ossec-hids-2.2
./install
OSSEC HIDS v2.2 Script de instalação - http://www.ossec.net
Você está iniciando o processo de instalação do OSSEC HIDS.
Você precisará de um compilador C pré-instalado em seu sistema.
Qualquer dúvida, sugestões ou comentários, por favor, mande um e-mail para
dcid@ossec.net (ou daniel.cid@gmail.com).
- Sistema: Linux debian 2.6.26-2-686
- Usuário: root
- Host: debian
-- Aperte ENTER para continuar ou Ctrl+C para abortar. --
1- Que tipo de instalação você deseja (servidor, cliente, local ou ajuda)? cliente [ Digite 'cliente' ]
- Escolhida instalação cliente.
2- Configurando o ambiente de instalação.
- Escolha onde instalar o OSSEC HIDS [/var/ossec]: [Pressione ENTER]
- A instalação será feita no diretório /var/ossec .
3- Configurando o OSSEC HIDS.
3.1- Qual é o endereço de IP do servidor OSSEC HIDS?: [ Informe o IP do servidor instalado anteriormente ]
xxx.xx.xxx.xxx
- Adicionando IP do servidor xxx.xx.xxx.xxx
3.2- Deseja habilitar o sistema de verificação de integridade? (s/n) [s]: [Pressione ENTER]
- Syscheck (Sistema de verificação de integridade) habilitado.
3.3- Deseja habilitar o sistema de detecção de rootkis? (s/n) [s]: [Pressione ENTER]
- Rootcheck (Sistema de detecção de rootkits) habilitado.
3.4 - Deseja habilitar o sistema de respostas automáticas? (s/n) [s]: n [ Digite 'n' ]
- Sistema de respostas automáticas desabilitado.
3.5- Ajustando a configuração para analisar os seguintes logs:
-- /var/log/messages
-- /var/log/auth.log
-- /var/log/syslog
-- /var/log/mail.info
-- /var/log/dpkg.log
- Se quiser monitorar qualquer outro arquivo, modifique
o ossec.conf e adicione uma nova entrada para o arquivo.
Qualquer dúvida sobre a configuração, visite http://www.ossec.net/hids/ .
--- Pressione ENTER para continuar ---
Após as mensagens do processo de instalação aparecerão as linhas abaixo:
- O Sistema é Debian (Ubuntu or derivative).
- O script de inicialização foi modificado para executar o OSSEC HIDS durante o boot.
- Configuração finalizada corretamente.
- Para iniciar o OSSEC HIDS:
/var/ossec/bin/ossec-control start
- Para parar o OSSEC HIDS:
/var/ossec/bin/ossec-control stop
- A configuração pode ser vista ou modificada em ``/var/ossec/etc/ossec.conf``
Obrigado por usar o OSSEC HIDS.
Se você tiver alguma pergunta, sugestão ou encontrar algum
"bug", nos contate através do e-mail contact@ossec.net ou
utilize nossa lista de e-mail:
( http://www.ossec.net/main/support/ ).
Mais informações podem ser encontradas em http://www.ossec.net
--- Pressione ENTER para continuar ---
- Para se comunicar com o servidor, você primeiro precisa
adicionar este cliente a ele. Quando você tiver terminado,
use a ferramenta 'manage_agents' para importar a chave de
autenticação do servidor.
/var/ossec/bin/manage_agents
Mais informações em http://www.ossec.net/en/manual.html#ma
Agora iremos adicionar este agente no servidor instalado anteriormente
No servidor execute os seguintes passos
Execute o
manage_agents/var/ossec/bin/manage_agents
****************************************
* OSSEC HIDS v2.2 Agent manager. *
* The following options are available: *
****************************************
(A)dd an agent (A).
(E)xtract key for an agent (E).
(L)ist already added agents (L).
(R)emove an agent (R).
(Q)uit.
Choose your action: A,E,L,R or Q: [ Digite A para adicionar um agente ]
- Adding a new agent (use '\q' to return to the main menu).
Please provide the following:
* A name for the new agent: teste< strong> [ Digite o nome do agente ]
* The IP Address of the new agent: xxx.xxx.xxx.xxx< strong> [ Digite o IP do agente ]
* An ID for the new agent[001]: [ Pressione ENTER ou informe um ID ]
Agent information:
ID:001
Name:teste
IP Address:xxx.xxx.xxx.xxx
Confirm adding it?(y/n): y [ Digite 'y' ]
Agent added.
****************************************
* OSSEC HIDS v2.2 Agent manager. *
* The following options are available: *
****************************************
(A)dd an agent (A).
(E)xtract key for an agent (E).
(L)ist already added agents (L).
(R)emove an agent (R).
(Q)uit.
Choose your action: A,E,L,R or Q: E [ Digite 'E' para obter a chave do agente ]
Available agents:
ID: 001, Name: teste, IP: xxx.xxx.xxx.xxx
Provide the ID of the agent to extract the key (or '\q' to quit): 001 [ Informe o ID do agente ]
Agent key information for '001' is: [ Guarde esta chave para adicionar na configuração do agente ]
MDAxIHRlc3RlIDE3Mi4xNi4wLjYgZmRkMDRiM2EyNThlYWM0ZWQ5ODU1NWZmNGY0NjM3YTVjMDI2MzA5NTg1Y2M5NjgyODczNjIxMTdiMzhlZWFlYw==
** Press ENTER to return to the main menu.
****************************************
* OSSEC HIDS v2.2 Agent manager. *
* The following options are available: *
****************************************
(A)dd an agent (A).
(E)xtract key for an agent (E).
(L)ist already added agents (L).
(R)emove an agent (R).
(Q)uit.
Choose your action: A,E,L,R or Q: Q [ Digite 'Q'para sair ]
Reinicie o Ossec Server
/var/ossec/bin/ossec-control restart
Agora iremos configurar o agente Ossec
Execute o
manage_agents/var/ossec/bin/manage_agents
****************************************
* OSSEC HIDS v2.2 Agent manager. *
* The following options are available: *
****************************************
(I)mport key from the server (I).
(Q)uit.
Choose your action: I or Q: I [ Digite 'I' ]
* Provide the Key generated by the server.
* The best approach is to cut and paste it.
*** OBS: Do not include spaces or new lines.
Paste it here (or '\q' to quit): [ Informe aqui a chave gerada pelo Ossec server ] MDAxIHRlc3RlIDE3Mi4xNi4wLjYgZmRkMDRiM2EyNThlYWM0ZWQ5ODU1NWZmNGY0NjM3YTVjMDI2MzA5NTg1Y2M5NjgyODczNjIxMTdiMzhlZWFlYw==
Agent information:
ID:001
Name:teste
IP Address:xxx.xxx.xxx.xxx
Confirm adding it?(y/n): y [ Digite 'y' ]
Added.
** Press ENTER to return to the main menu.
****************************************
* OSSEC HIDS v2.2 Agent manager. *
* The following options are available: *
****************************************
(I)mport key from the server (I).
(Q)uit.
Choose your action: I or Q: Q [ Digite 'Q' para sair ]
** You must restart the server for your changes to have effect.
manage_agents: Exiting ..
Reinicie o Ossec agent
/var/ossec/bin/ossec-control restart
Acesse o Ossec-WUI e confirme se o agente está sendo monitorado como nos screens abaixo:
Nenhum comentário:
Postar um comentário