Ossec PDF

9/2/2015
OSSEC
OSSEC
Logintopostcomments
1582reads
systme:
Linux
installation
securit
performance:
Monitoring
OSSECinstallationetusage.
OssecestunHIDquisembletrscomplet,deconceptionassezrcenteilestactuellementdtenuparunesocitprive(Trend
Micro)quiproposeuneversionlibreetuneversionprofessionnelle.
OSSECn'estpasunlogicieltrscompliqu(aumoinsextrieurement)maisl'installationestunpeucomplexecarleproduitn'estpas
intgrdansunedistributionetilfautrsoudresoimmelesproblmesdecompatibilit(voirplusloinleproblmeposlorsd'un
upgradedeversionDebian).
Maislesfonctionnalitssontengageantesetj'aieuenviedelevoirl'oeuvre.
OSSEC:INSTALLATION
Logintopostcomments
2187reads
systme:
Linux
installation
securit
L'installationatfaitesurunemachineCentos5.5virtualiseavecXEN.
Aprsrcuprationdessources(pourmoiversion2.4.1)etdtaragedansunrpertoired'installationilsuffitdelancerlescript
"install.sh"
Aprslechoixdelalangue(frpourmoi)unrcapdevotresystmes'affiche
=====================================================================
OSSECHIDSv2.4.1Scriptd'installationhttp://www.ossec.net
Voustessurlepointd'installerOSSECHIDS.
VousdevezavoirunecompilateurCprinstallsurvotresystme.
Sivousavezdesquestionsoudescommentaires,envoyezunemail
dcid@ossec.net(oudaniel.cid@gmail.com).
Systme:Linuxmachine.domaine2.6.18194.3.1.el5
Utilisateur:root
Hte:machine.domaine
AppuyezsurEntrepourcontinuerouCtrlCpourannuler.
======================================================================
Onappuyebiensrsurentre...etl'ondoitalorschoisirl'optiond'installationentre:
serveurserveurd'analyseOSSEC
agentagenttransmettantunserveur
localmachineindpendante
Pourcettepremireapprochejechoisis"local"
Pourlerpertoired'installationjegarde"/var/ossec".JeconfigurelesalertesparEmailetsaisisuneadressemailvalideenprcisantleserveurdemail
utiliser(localhost)puisquej'aiunserveurPostfixlocal.
Jeprciseensuitequejeveuxdmarrerledmondecontroled'intgritetlemoteurdedtectionderootkit.
=======================================================================
1Queltyped'installationvoulezvous(serveur,agent,localouaide)?local
http://performance.izzop.com/book/export/html/132
1/24
9/2/2015
OSSEC
Installationenlocalchoisie.
2Dfinitiondel'environnementd'installation.
Choisissezvotrerpertoired'installationdeOSSECHIDS[/var/ossec]:
L'installationserafaitesur/var/ossec.
3ConfigurationdeOSSECHIDS.
3.1Voulezvousunealerteparemail?(o/n)[o]:o
Quelestvotreadresseemail?xxxxxx@xxxxxx
Quelestl'adresseIPoulenomd'htedevotreserveurSMTP?localhost
3.2Voulezvousdmarrerledmondevrificationd'intgrit?(o/n)[o]:o
Lancementdesyscheck(dmondevrificationd'intgrit).
3.3Voulezvousdmarrerlemoteurdedtectionderootkit?(o/n)[o]:o
3.4Larponseactivevouspermetd'xcuterdescommandes
spcifiquesenfonctiond'vnement.Parexemple,
vouspouvezbloqueruneadresseIPouinterdire
l'accsunutilisateurspcifique.
Plusd'informationsur:
http://www.ossec.net/en/manual.html#activeresponse
voulezvousdmarrerlarponseactive?(o/n)[o]:o
Pardfaut,nouspouvonsactiverlecontrled'hte
etleparefeu(firewalldrop).Lepremierajoute
unhtedans/etc/hosts.denyetlesecondbloquera
l'htedansiptables(souslinux)oudansipfilter
(sousSolaris,FreeBSDouNetSBD).
Ilspeuventaussitreutilisspourarrterlesscans
enforcebrutedeSSHD,lesscansdeportsoud'autres
formesd'attaques.Vouspouvezaussilesbloquerpar
rapportdesvnementssnort,parexemple.
Voulezvousactiverlarponseparefeu(firewalldrop)?(o/n)[o]:o
parefeu(firewalldrop)activ(local)pourleslevels>=6
listeblanche(whitelist)pardfautpourlarponseactive:
192.168.1.x
192.168.1.y
Voulezvousd'autresadressesIPdansvotreliste(whitelist)?(o/n)?[n]o
=============================================================================
J'ajouteicilesadressesIPquejeveuxpasvoirbannirlorsdestests...
=============================================================================
3.6Miseenplacedelaconfigurationpouranalyserleslogssuivants:
/var/log/messages
/var/log/secure
/var/log/maillog
Sivousvoulezsurveillerd'autresfichiers,changez
lefichierossec.confenajoutantunenouvellevaleur
denomdefichierlocal.
Pourtoutesvosquestionssurlaconfiguration,
consulteznotresitewebhttp://www.ossec.net.
AppuyezsurEntrepourcontinuer
=============================================================================
Ensuitelacompilationcommenceetesttrscourte.
=============================================================================
2/24
9/2/2015
OSSEC
Configurationcorrectementtermine.
PourdmarrerOSSECHIDS:
/var/ossec/bin/osseccontrolstart
PourarrterOSSECHIDS:
/var/ossec/bin/osseccontrolstop
Laconfigurationpeuttrevisualiseoumodifiedans/var/ossec/etc/ossec.conf
Mercid'utiliserOSSECHIDS.
Sivousavezdesquestions,suggestionsousivoustrouvez
unbug,contacteznoussurcontact@ossec.netouenutilisantla
listedediffusionpubliquesurosseclist@ossec.net
(http://www.ossec.net/en/mailing_lists.html).
Plusd'informationpeuttretrouversurhttp://www.ossec.net
AppuyezsurEntrepourfinir(peuttreplusd'infoplusbas).
=============================================================================
Unscriptdedmarrage"/etc/init.d/ossec"atajoutetactivcorrectementdanslamachine.
Unpetitrebootpourvaliderletoutetarepart,onpeutaupassagevoirledmarragedeOSSEC.Unpremiermaildelancementestaussittenvoy,
c'estunealertedeniveau3(lesniveauxvontde115,15tantl'alertemaxi)mesignalantledmarragedudmon:
OSSECHIDSNotification.
2010Jun2914:06:13
ReceivedFrom:machine.domaine>ossecmonitord
Rule:502fired(level3)>"Ossecserverstarted."
Portionofthelog(s):
ossec:Ossecstarted.
ENDOFNOTIFICATION
Jemeconnecteen"root"surlamachine,nouvellealertedeniveau4cettefois.
Jemeconnecteavecunautreutilisateurceladclencheunnouveaumailde"firsttimeuserloggedin".Uneautreconnectionaveclemmeutilisateurne
dclencheaucunmail.Toutcelasemblebeletbon.
OSSEC:Mysql
Logintopostcomments
1873reads
systme:
MySQL
Linux
installation
securit
Aprsl'installationquisepassetrssimplementetlavrificationdel'installation(cfarticleprcdent)ilvafalloirtestercelogiciel,ce
quipeutprendreuncertaintemps!
J'avaismalheureusementoublid'installerlesupportMYSQL,j'aiduraliserunepetitemanipulationpouractiverlesupportMysqlet
relancerl'installation.
ActivationdusupportMysql:
Chargerlabibliothquededveloppement((mysqldevel.i386surCentos)
allerdanslerpertoire"src"del'installateuretlancerlacommande
makesetdb
Quirpondsgentiment:
============================================================
Error:PostgreSQLclientlibrariesnotinstalled.
Info:CompiledwithMySQLsupport.
============================================================
3/24
9/2/2015
OSSEC
Ilfautensuiterelancerlescript"install.sh",
Aprsavoirchoisilefranais,jechoisisdemettrejourmoninstallationainsiquelesrgles.Lacompilationdmarre...etsetermine
parl'installation.
........
OSSECHIDSv2.4.1Stopped
StartingOSSECHIDSv2.4.1(byTrendMicroInc.)...
Startedossecmaild...
Startedossecexecd...
Startedossecanalysisd...
Startedosseclogcollector...
Startedossecsyscheckd...
Startedossecmonitord...
Completed.
Misejourcomplte.
Ilfautensuites'occuperdelabasededonnes:
Crerlabase
Crerl'utilisateur
Donnerlesdroitsadquatsl'utilisateursurlabase
Crerleschmaenallantdanslerpertoired'installationpuisdans"src/os_dbd"ounfichier"mysql.schema"n'attendsquevotrebonvouloiretla
commande:
mysqluser=le_userpassword=le_passwordDla_base<mysql.schema
Aprscontrle8tablessontcresdansleschma.
Ilesttempsd'allerajouterleparamtragequivabiendanslefichier(xml)deconfigurationdeOSSEC.Ilsuffitd'ajouterentteduficier
/var/ossec/etc/ossec.conflepetitboutdeXMLsuivant:
<ossec_config>
<database_output>
<hostname>le_host</hostname>
<port>3306</port>
<username>ossec_user</username>
<password>ossec_password</password>
<database>ossec_database</database>
<type>mysql</type>
</database_output>
</ossec_config>
Ilfautensuite:
Executeravecferveurl'incantationsuivante:
/var/ossec/bin/osseccontrolenabledatabase
Stopperetrelancerleservice.
4/24
9/2/2015
OSSEC
L'enregistrementestalorspossibledanslabaseMysql(Postgresqlestaussiadmis).
Petiteremarque:l'installationcredenouveauxutilisateursetungroupe"ossec"etlaplupartdesprocessnetournentpasavecles
privilgesde"root"cequiestungagedestabilit/scurit.
Testsencours....lasuitebientt
OSSEC:InterfaceWEB
Logintopostcomments
1654reads
systme:
Linux
installation
securit
Rcupererl'archive"ossecwui....",pourmoilaversion0.3,ladtarerdansunrpertoire
tranquille.Ilsuffitensuitederecopierlenouveaurpertoireossewwui0.3dans
l'arborescenceWEB,pourmoi/var/www/ossecwui0.3.
Ilfautensuiteajouterlegroupe"ossec"l'utilisateursouslequelApacheestlanc
(apachepourCentos,wwwdatapourDebian).
Ilfautensuiteserendredanslerpertoire/var/www/ossec...etylancerlescriptde
configuration"setup.sh":
[root@xxxxxxxossecwui0.3]#./setup.sh
Settingupossecui...
Username:xxxxxx
Newpassword:
Retypenewpassword:
Addingpasswordforuserxxxxxx
Setupcompletedsuccessfuly.
Dans/var/wwwj'aiensuitefaitunlienossecwui0.3>ossecpuisdanslerpertoire/etc/httpd/conf.dj'aiajoutlefichiersuivant:
<Directory"/var/www/ossec">
OptionsIndexes
AllowOverrideNone
Orderallow,deny
Allowfromall
</Directory>
OnrelanceApacheetl'accsestensuitedirectparhttp://localhost/ossec.
Quelquesimagesdel'interfaceWeb(unpeu"rude")maisquisembleassezcommodepourlesrecherches.
Image1:vuelorsdel'accs
5/24
9/2/2015
OSSEC
Image2:critresderecherche:
Cetinterfaceservleassezcommodepourlesrecherches.
OSSEC:Installationserveur
Logintopostcomments
1865reads
systme:
Linux
installation
securit
SicommemoivoustrouvezOSSECpasmalvouspouvezinstallerdesagentssurd'autresmachines,pourcelailvoussuffirade
modifiervotremachineoriginaleenmode"serveur".
Ilfautmalheureusementdtruiresoninstallationexistanteetrefaireuneinstallation.
Dtruireleslmentssuivants:
/var/ossec
/etc/ossecinit.conf
/etc/init.d/ossec
et
./rc.d/rc2.d/S99ossec
./rc.d/rc0.d/K15ossec
Ilsuffitallorscommed'habitudedeserendredanslerpertoired'installationetdelancerl'invitable"install.sh".
SivousdsirezutiliserlestockagedansunebaseMysql,n'oubliezpasd'activerlafonctionnait"Mysql"(voirarticle).
Onchoisitlalangue,etonfrappe"Entre"surl'invite...
======================================================================
6/24
9/2/2015
OSSEC
.../...
1Queltyped'installationvoulezvous(serveur,agent,localouaide)?serveur
Installationduserveurchoisie.
3.1Voulezvousunealerteparemail?(o/n)[o]:o
Quelestvotreadresseemail?toto@monserveur
Quelestl'adresseIPoulenomd'htedevotreserveurSMTP?192.168.1.xxx
3.2Voulezvousdmarrerledmondevrificationd'intgrit?(o/n)[o]:O
Lancementdesyscheck(dmondevrificationd'int&grit).
3.3Voulezvousdmarrerlemoteurdedtectionderootkit?(o/n)[o]:O
Lancementderootcheck(dtectionderootkit).
3.4Larponseactivevouspermetd'xcuterdescommandes
spcifiquesenfonctiond'vnement.Parexemple,
vouspouvezbloqueruneadresseIPouinterdire
l'accsunutilisateurspcifique.
http://www.ossec.net/en/manual.html#activeresponse
voulezvousdmarrerlarponseactive?(o/n)[o]:O
Rponseactiveactive.
Pardfaut,nouspouvonsactiverlecontrled'hte
etleparefeu(firewalldrop).Lepremierajoute
unhtedans/etc/hosts.denyetlesecondbloquera
l'htedansiptables(souslinux)oudansipfilter
(sousSolaris,FreeBSDouNetSBD).
7/24
9/2/2015
OSSEC
Ilspeuventaussitreutilisspourarrterlesscans
enforcebrutedeSSHD,lesscansdeportsoud'autres
formesd'attaques.Vouspouvezaussilesbloquerpar
rapportdesvnementssnort,parexemple.
Voulezvousactiverlarponseparefeu(firewalldrop)?(o/n)[o]:o
listeblanche(whitelist)pardfautpourlarponseactive:
192.168.1.xxx
192.168.1.xxx
Voulezvousd'autresadressesIPdansvotreliste(whitelist)?(o/n)?[n]:o
IPs(sparespardesespaces):192.168.1.xxx
3.5Voulezvousactiverfonctionnalitssyslog(portudp514)?(o/n)[o]:n
Fonctionnalitsyslogdsactive.
/var/log/messages
/var/log/secure
/var/log/maillog
/var/log/httpd/error_log(apachelog)
/var/log/httpd/access_log(apachelog)
.........lacompilsepasse.........
LeSystmeestRedhatLinux.
Scriptd'initialisationmodifipourdmarrerOSSECHIDSpendantleboot.
8/24
9/2/2015
OSSEC
Vousdevezajouterle(s)agent(s)avantqu'ilsaientunaccsautoris.
Lancez'manage_agent'pourlesajouteroulessupprimer:
/var/ossec/bin/manage_agents
http://www.ossec.net/en/manual.html#ma
====================================================================
Dsleservicelanconconstatel'ouvertured'unportencoute:
lsofPn|grepUDP|greposs
ossecrem5859ossecr4uIPv4152930UDP*:1514
aprsavoirdmarrunpostemunid'unagentonpeutvoirdanslelogdeceluicilatracedelaconnectionauserveurOSSEC(/var/ossec/logs/ossec.log)
:
2010/06/3014:24:03ossecagentd(4102):INFO:Connectedtotheserver(192.168.1.124:1514).
2010/06/3014:29:37ossecsyscheckd:INFO:Finishedcreatingsyscheckdatabase(prescan
completed).
Pourlerestedufonctionnnementilestidentiqueceluidelaversionlocale.
OSSEC:installationagentLinux
Logintopostcomments
2064reads
systme:
installation
Linux
securit
9/24
9/2/2015
OSSEC
Installationd'unagentsurunemachineLinux,iciunedistributionDebian,l'installationsefaitpartirdessourcescariln'existepasde
paquest(s)DebianpourOSSEC.LessourcessontlesmmesquepourtouteversionLinux/Unix.
Aprsdtaragedel'archiveonserendsdanslerpertoire"ossechids2.4.1"etonlancelescript"install.sh".
Jeviensd'intgrerunenouvellemachinedanslesystmeenversion2.7.1sansaucunproblme,lessrciptsdecomportentde
manireidentique.
Aprslechoixdelalangue(frpourmoi)unrcapdusystmes'affiche,Entrepourcontinuer
:===================================================================
1Queltyped'installationvoulezvous(serveur,agent,localouaide)?agent
Installationdel'agent(client)choisie.
3.1Quelleestl'adresseIPdevotreserveurOSSECHIDS?:192.168.1.xxx
Ajoutdel'IPduServeur192.168.1.xxx
3.2Voulezvousdmarrerledmondevrificationd'intgrit?(o/n)[o]:o
Lancementdesyscheck(dmondevrificationd'intgrit).
3.3Voulezvousdmarrerlemoteurdedtectionderootkit?(o/n)[o]:o
Lancementderootcheck(dtectionderootkit).
3.4voulezvousdmarrerlarponseactive?(o/n)[o]:o
/var/log/messages
/var/log/auth.log
/var/log/syslog
/var/log/xferlog
/var/log/mail.info
/var/log/squid/access.log
/var/log/dpkg.log
/var/log/snort/alert(snortfullfile)
AppuyezsurEntrepourcontinuer
======================================================================
Lacompilationdmarreetl'installations'enchanepourseterminerenbeaut...
======================================================================
LeSystmeestDebian(Ubuntuorderivative).
Scriptd'initialisationmodifipourdmarrerOSSECHIDSpendantleboot.
.........
Vousdevezd'abordajoutercetagentsurleserveurpour
qu'ilscommuniquententreeux.Quandcelaserafait,
vouspourrezlancerl'outil'manage_agents'pour
importerlaclefd'authentificationdepuisleserveur.
http://www.ossec.net/en/manual.html#ma
=======================================================================
Ilfautensuiteserendresurleserveurpour"ajouter"l'agentl'aidedelacommande"/var/ossec/bin/manage_agents":
=======================================================================
****************************************
*OSSECHIDSv2.4.1Agentmanager.*
*Thefollowingoptionsareavailable:*
****************************************
(A)ddanagent(A).
(E)xtractkeyforanagent(E).
(L)istalreadyaddedagents(L).
(R)emoveanagent(R).
(Q)uit.
Chooseyouraction:A,E,L,RorQ:A
Addinganewagent(use'\q'toreturntothemainmenu).
Pleaseprovidethefollowing:
*Anameforthenewagent:comk400
*TheIPAddressofthenewagent:192.168.1.xxx
*AnIDforthenewagent[001]:001
Agentinformation:
ID:001
Name:xxxxxxxxx
IPAddress:192.168.1.xxx
Confirmaddingit?(y/n):y
Agentadded.
****************************************
****************************************
10/24
9/2/2015
OSSEC
(A)ddanagent(A).
(R)emoveanagent(R).
(Q)uit.
Chooseyouraction:A,E,L,RorQ:q
**Youmustrestarttheserverforyourchangestohaveeffect.
manage_agents:Exiting..
===================================================================
OnredmarreleserviceOSSECsurleserveuret...pasdemessage.
Leschangestantauthentifisilfautensuiteprocderl'changedeclefsquisefaitparlemmeoutil,surleserveur:
=====================================================================
****************************************
****************************************
(A)ddanagent(A).
(R)emoveanagent(R).
(Q)uit.
Chooseyouraction:A,E,L,RorQ:E
Availableagents:
ID:001,Name:comk400,IP:192.168.1.60
ProvidetheIDoftheagenttoextractthekey(or'\q'toquit):001
Agentkeyinformationfor'001'is:
xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx
**PressENTERtoreturntothemainmenu.
=====================================================================
Surl'agentonlancel'outildemanagementetoncopieralaclef:
=====================================================================
****************************************
****************************************
(I)mportkeyfromtheserver(I).
(Q)uit.
Chooseyouraction:IorQ:I
*ProvidetheKeygeneratedbytheserver.
*Thebestapproachistocutandpasteit.
***OBS:Donotincludespacesornewlines.
Pasteithere(or'\q'toquit):xxxxxxxxxxxxxxxxxxxxxxxxxxxxxx
Agentinformation:
ID:001
Name:xxxxxxxxx
IPAddress:192.168.1.xxx
Confirmaddingit?(y/n):y
Added.
**PressENTERtoreturntothemainmenu.
=======================================================================
onpeutalorsdmarrerleservicesurlamachinedontonvientd'installerl'agent.
=======================================================================
./ossecstart
StartingOSSECHIDSv2.4.1(byTrendMicroInc.)...
Startedossecexecd...
Startedossecagentd...
Startedosseclogcollector...
Startedossecsyscheckd...
Completed.
==========================================================================
OSSEC:installationagentWindows
Logintopostcomments
2099reads
systme:
Windows
installation
securit
11/24
9/2/2015
OSSEC
LapremireinstallationatfaitesurunemachineXP,depuiscettemachineadisparuremplaceparunemachine"green"souc
Windows7.L'installationestidentiqueentreXPetWindows7.
L'installationestsimplemaisilfautavoireffectuauparavantladclarationdelanouvellemachinesurleserveurettransfrerlaclef
surlamachineWindows.Eneffetilestdconseilldesaisirlaclefauclavier!
Ledbutdel'installationesthabituel,onreoitl'avertissementdescurit,onaccepteetl'installeurselance:
Ilfautbiensr"Excuter"bienquel'diteurduproduitnesoitpasconnudeMicrosoft...
Onacceptelalicenceetoninstalletout(jen'utilisepasIIScarjenesuispasmaso)maiscommec'estrecommand...
12/24
9/2/2015
OSSEC
L'endroitproposn'estpaspirequ'unautreetcommecettemachinevirtuellen'aqu'undisque...Ensuiteconfigurerl'adresseduserveuretlaphrasede
passe(sionn'apasconfigurleclientsurleserveurOSSEConpeutencorelefaire).Nepasoublierle"Save"sansquiriennesepasse.
SileslmentsdelaclsontOKon"Okete"etonpasselasuite.Benoui,onvaledmarrercetagent,c'estnotrebutultime...
Onconfigureleservicepourqu'ilnes'arrtepassansraison..etquandonvavoirsurl'interfacewebduserveur,MIRACLE,laliaisonestactiveeton
"voit"notremachineXP.
Etenplusontrouvedanssaboitemailuneconfirmationdudmarrageduservice.
13/24
9/2/2015
OSSEC
2010Julxx22:40:25
ReceivedFrom:(comxp1)192.168.1.xxx>ossec
Rule:503fired(level3)>"Ossecagentstarted."
Portionofthelog(s):
ossec:Agentstarted:'comxp1>192.168.1.xxx'.
ENDOFNOTIFICATION
Apartirdemaintenantpleindechosesvonttre"logues"etdonnerlieuunmessagemail.Ilfaudraadapterleparamtrage(notammentlesniveaux
d'alertedonnantlieumail)afindenepasrecevoirdemailspourdesvidencescarcelarisquedenoyerdesfaitsintressantsdansunemassede
messagespurementinformatifs.Quoiquelaconnexiond'unadministrateurpuissetreintressantesuivre,surtoutsurunserveur(Weboubasede
donnes)peufrquentparlesmembresdesquipesd'administrationsaufenpriodedecrise.
OSSEC:lavieavecOSSEC
Logintopostcomments
1218reads
systme:
Linux
Windows
securit
LavieavecOSSECestassezfacile,leproduitest,d'origine,trsbienparamtr.Lesoptionsfourniespardfautpermettentdj
uneanalysetrsfinedesvnementsquisepassentdansvosmachines.
J'aifaitlestestsavec:
unossecserveursuruneCentos5.5
unagentWindowssurunemachineXP
unagentLinuxsurunemachineDebian.
L'installationtantdtailleparailleursjen'yreviendraispas,labonnechoseestquepourunpetitrseau(moinsde10machines)il
n'yapasbesoinderetoucherleparamtrage.Lesystmeestparfoisunpeubavard(pasmaldemails)maistouteslesinformations
sontl:
les"login",ons'intresserasurtoutauxloginrefuss...
lesfichiersmodifis(attributs,taille....),certainsfichierssontpeuttresuperflus,maisons'yhabitue.
l'installationdelogicielsestparfaitementrepre,quecesoitpas"yumupdate"ou"aptgetupgrade".
PourlapartieinterfaceWeb,quiparatunpeu"spartiateaudbut",onpeutfairerapidementungrandnombred'interrogationscibles
:
yatileudestentativesdeconnexionmultiples
Quelscomptesonttmodifis
Lesprincipauxcritresdeslectionsont(d'autressontdisponiblestelsquelenumrodelargleayantreprl'erreur):
fourchettedate/heure
typed'vnement(useraccountmodified,authenticationfailure,systemerror,integritychecking).
Pourlestestsd'intgritlamisejourd'unemachineendclencheunpaquet,(uneerreurpourchaquefichiermodifi).
J'aimodifisurleserveurOSSEClefichier"/etc/inittab"(passageduniveaudedmarrage53pasbesoindegraphiquesurle
serveurOSSEC)j'aitrsrapidementreuunmailsignalantcettemodif:
2010Julxx14:52:01
ReceivedFrom:xxxxxxxxxxsyscheck
Rule:550fired(level7)"Integritychecksumchanged."
Portionofthelog(s):
Integritychecksumchangedfor:'/etc/inittab'
Oldmd5sumwas:'9d49303d50eb59151fc24eb0e3802232'
Newmd5sumis:'92a39a223f68e67e9e6c412443851aeb'
Oldsha1sumwas:'13b4a423b08d394b8efe3fc55ab2e5ca959a9f35'
Newsha1sumis:'78ef239097844c223671e99a79d6b533dced8d3b'
14/24
9/2/2015
OSSEC
ENDOFNOTIFICATION
Lamisejour(paraptgetupgrade)dclencheunmaildesignalementmeprvenantdelamisejourdedeuxpackages:
2010Julxx20:26:55
ReceivedFrom:(xxxxxxxx)192.168.1.xxx>/var/log/dpkg.log
Rule:2902fired(level7)"Newdpkg(DebianPackage)installed."
Portionofthelog(s):
201007xx20:26:55statusinstalledlibmozjs1d1.9.0.193
2010Julxx20:26:57
ReceivedFrom:(xxxxxxxx)192.168.1.xxx>/var/log/dpkg.log
Rule:2902fired(level7)"Newdpkg(DebianPackage)installed."
Portionofthelog(s):
201007xx20:26:57statusinstalledxulrunner1.91.9.0.193
ENDOFNOTIFICATION
J'aidtruitunfichiersuperflu"/etc/toto"etj'aireutrsrapidementlemail
m'informantdecettemodification:
2010Julxx20:19:29
ReceivedFrom:(xxxxxxxx)192.168.1.xxxsyscheck
Rule:550fired(level7)"Integritychecksumchanged."
Portionofthelog(s):
Integritychecksumchangedfor:'/etc/toto'
Sizechangedfrom'1705'to'0'
Oldmd5sumwas:'f3ec8dd540603dc954e1d99d97a127ab'
Newmd5sumis:'d41d8cd98f00b204e9800998ecf8427e'
Oldsha1sumwas:'28e360b5b2ecd8550ab755e26f994232d278c0a8'
Newsha1sumis:'da39a3ee5e6b4b0d3255bfef95601890afd80709'
ENDOFNOTIFICATION
Enbref,bienqueparfoisunpeubavardOSSECestunoutilquisembleexcellent,jevaisprobablementl'installersurmonpetitrseau
pourtreaucourantdetoutcequisetramedanscepetituniversthoriquementbienferm.
Jepensequ'aprsquelquesajustementduniveaudequelquesrgles(lesniveauxvontde115)lesystmeseraparfait.
J'avaisconfigurla"rponseactive"sansmettreen"listeblanche"toutesmesmachinesetj'aipuconstatermesdpendsquecela
fonctionnaittrsbien,aprsquelqueserreursdefrappedansunmotdepassejeneparvenaismmeplus"pinger"lamachine.En
vrifiant"endirect"j'aipuconstaterqu'unergle"iptables"avaittinstallebloquanttouslesaccsdepuislamachinefautive.
OSSECtientjoursalistede"rponsesactives"etannullelargleiptablesapresuncertaintemps.Lespetismalinsquitententdes
attaquesenforcebrutesurleportSSHvontenfairelesfrais.
Adapterlaconfiguration:
C'estdanslefichier"/var/ossec/etc/ossec.conf"queseralisentlaplupartdespersonnalisations:
Configurationdelabasededonnes(jevousengageutiliserPostGresqlouMysql)carilseraensuitepossiblededvelopper
desrequtesadhoc.
Configurationdel'envoidesmails(niveau,adresseexpditeur)
Configurationdelarponseactive,notammentladured'viction(dfaut600secondes)
Fichiersde"log"prendreencompte,sivousavezunserveurapachequiutilisedenombreuxfichiersdelog(unoudeuxpar
serveurvirtuel),c'esticiqu'ilfaudralesindiquer.
Commandes,parexemplecellesde"rponseactive",vouspouveziciajouterdescommandes"prives"quevousvoudriezvoir
excuterdanscertainesconditions.
Lalistedesfichiers(xml)derglesprendreencompte,prudenceenensupprimantcarbeaucoupderglesontdes
dpendancesdansd'autresfichiers.LamoindreerreurempcheOSSECdedmarrer.
PS:
Jen'aipasencorevudeniveaudemessagessuprieurs7,leniveau15doittreangoissant!
Dsmonretourdevacancesjevaislancerunevagued'installationd'agentsOSSECsurtouteslesmachinesquitranent,leserveur
15/24
9/2/2015
OSSEC
estdjchoisi,celaluiferaunepetitechargesupplmentaire.
OSSEC:surun"vrai"serveur
Logintopostcomments
1398reads
systme:
Linux
installation
securit
Jen'aipasputeniretdisposantdequelquestempsj'aidciddetenterl'installationdeOSSECsurmonserveurdemail.
C'estunserveurpermanent(basseconsommationcf)quisupportedjpleindetrucs,maisc'estlaseulemachineenfonctionnement
continuetdoncaptegrerlesagentsdposerdanslesautresmachines.Commec'estaussilapasserelleversInternet,elledoit
treparticulirementsurveille.
Installerlelogicielserveur.
InstallerlesupportMYSQL:
cd..../ossec.../src
makesetdb
Error:PostgreSQLclientlibrariesnotinstalled.
Info:CompiledwithMySQLsupport.
Installer"libzetlibzdevel"parunpetitcoupde"aptgetinstallzlib1gzlig1gdev".
Ilneresteplusalorsqu'lancerlaprocdured'installation.
./install.sh
Quisedrouleavecunpetitproblmecargccmeditmchammentqu'ilnereconnaitpasleswitch"R".
Surcettemachineestinstall"ZIMBRA"(Serveurmailetwebmail)et,jenesaispaspourquoi,touteslesdfinitionsderpertoiresde
librairies(parexemple:L/usr/lib)taientprfixsR/usr/lib,cequim'aobligmettreun"frontend"bidonpour"gcc"dontvoicile
script(facile!):
=========================================================
#!/bin/bash
PARAM=`echo$*|sed's\/R/\L/g'`
/usr/bin/gcc$PARAM
==========================================================
C'esttoutetlacompilationseterminebien.OnpassealorslapartieMysql:
CrerunutilisateurdanslabaseMySql,c'estfacileavecmysqladmin.
Crerleschmadebasededonnes,
Donnerlesdroitsadquatsauuser
Lancerlescriptdecrationdestables:
cd.../ossec..../src/dbd_os
mysqluser=osssec_userpassword=ossec_mot_de_passeDnom_de_la_base<mysql.schema
Ajouterdans/var/ossec/etc/ossec.conflemorceau(choisi)justeaprs"<ossec_config>"etavant<global>:
<database_output>
<hostname>localhost</hostname>
<port>3306</port>
<username>ossec_user</username>
<password>ossec_mot_de_passe</password>
<database>ossec_base</database>
<type>mysql</type>
</database_output>
Surtoutnepasoublierl'incantation"/var/ossec/bin/osseccontrolenabledatabase"avantdelancerle
service.
Installerl'interfaceWEB
Dcompresserl'archivedans"/var/www"
Allerdanslerpertoire"/var/www/ossec_......"pourexcuterlescript"setup.sh"
Nepasoublier(commemoilapremirefois),d'affecterleuserdelancementdeApache(wwwdatapourDebian)dansle
groupe"ossec"(etredmarrerApache),sinonvousn'obtiendrezquedesmessagesd'insultedetype"accessdenied"ouau
mieuxunmessage"Noagentavailable"dansl'interfacealorsmmequelemailssontmisnormalementetquetoutsemble
16/24
9/2/2015
OSSEC
baigner.
MettreenplacelepetitfichierdedclarationpourApache(/etc/apache2/conf.dpourDebian,/etc/httpd/conf.dpourlesredhat
like):
#
#Thisconfigurationfileallowsthemanualtobeaccessedat
#http://localhost/ossec/
#
AliasMatch^/ossec(?:/(?:de|en|fr|ja|ko|ru))?(/.*)?$"/var/www/ossec$1"
<Directory"/var/www/ossec">
OptionsIndexes
AllowOverrideNone
Orderallow,deny
Allowfromall
</Directory>
Testerlersultat.
Premierlancement.
C'esthorrible!TouslesmessagesinscritsparZIMBRAdans"/var/log/syslogou/var/log/messages"dclenchentunmaild'anomalie
dequoisaturerrapidementuneboitemail.JestoppedoncrapidementleserviceOSSEC.
Aprsunepetiterflexionunpland'actionsedessine:
Actionsraliser:
1)modifierlesparamtresdersyslogdasn"/etc/rsyslog.conf"(utilispardfautsurceserveur)
laligne:*.*auth,authpriv.none/var/log/syslog
devient:*.*auth,authpriv.none,mail,local0,local1/var/log/syslog
laligne:mail,news.none/var/log/message
devient:mail,news.none\
local0,local1/var/log/messages
AinsilestracesdeZIMBRAdevraienttresupprimesdeslogs"standard"etnepluspolluerlesdtectionsd'anomalies.Maisen
contrepartielesactionsdezimbraneserontplusanalyses.
2)Chercherunmoyend'analyserleslogsdeZIMBRA.
Ilfautpourcelacrerunnouveau"parser"capabled'analyserleslogsdeZimbra.
HeureusementInternetestl(http://www.zimbra.com/forums/administrators/39764ossecrules.html)etonytrouveexactementcequ'il
nousfaut.
Legarsquiacritcesrglesal'airdesavoirdequoiilparle,jeluifaitdoncconfianceetintgrecesrgleslouilestditdelefaire.
Deuximelancement.
C'estlepied...lesmessagesdeZimbranepolluentpluslesdtections...si,ilresteunesourcedemailsintempestifs,c'estl'analyse
dufichier"auth.log"oles"sudo...."deZimbragnrentencoreunepalanqued'anomalies(deuxoutroistouteslesdeuxminutes)il
fautdoncfairequelquechosecarjeveuxpastraiterplusde1000messagesparjour!
Laussiunpeuderflexionetbeaucoupdelecturedeladoc(RTFM)permettentd'entrevoirunesolution:
Modifierlecomportementd'unerglestandard.Cettepossibilitestgnialeetpermetdetraitersansproblme,etaveclgance,
descasparticuliers.C'estungrosplusdeOSSECparrapportd'autresoutils.
Ilsuffitdecrerunergle(aveclaplagedenumrotationquivabien(100000110000)).Jecredoncunergle"101001"qui
rfrencelargle5402(if_sid)quimecausedesennuisetajouteunecontraintespcifique(match),sicettergle"matche"alorsle
niveaudel'erreurestramenzro(pasd'erreur).Etcecis'crit:
<ruleid="101001"level="0">
<if_sid>5402</if_sid>
<match>COMMAND=/opt/zimbra/libexec/zmm</match>
<description>KillZIMBRASUDO</description>
</rule>
Traduction:Silargle5402estleve(lesmessagesindiquenttoujourslenumrodelarglequilesadclenchs)etsilaligne
"offensante"delogcomportelachaine"COMMAND=/opt/zimbra/libexec/zmm"alorsleniveaud'erreurserazro.
Aajouterdanslegroupederglesdanslequelonadjintgrlesrgles"zimbra"dusitementionnaudessus.
JenesuispasungrandamateurdeXML,maisceniveaulj'arrivesuivre.
Onredmarreleserviceetonattendunpeupourvoirsilamodificationestefficace.Aprsplusieursminutespasunseulmailce
sujet,c'estgagn.Viteunpetittestavecunautre"sudo"et...ilapparaitdanslaliste,c'estdoncvraimentgagn.
QuelquesmessagesgnrsparAMAVISattirentmonattention,maisilnes'agit"que"dutraitementd'unmaildontl'adressemail
comportelemot"error"!
LestockagedesdonnesdanslabaseMysqlestralisavecunmodlededonnessimplequiprometunegrandefacilitde
ralisationderequtescibles.Cesrequtessontsurtoutintressantesdansunrseauimportant,maisiciondoitpouvoireffectuer
quelquestestsfacilement.
L'interrogationavec"Mysqlbrowser"estfacilecaronaccdeimmdiatementauxmessages,obtenirlalistedesconnexionspar
machineet/ouparutilisateurserasupersimple.
Quelquesmessagesdufirewallapparaissent,d'autresde"SNORT":avecquelques"DestinationUnreachableCommunicationwith
DestinationHostisAdministrativelyProhibited[**][Classification:Miscactivity][Priority:3]".
Enbref,aprsmestestssurdesmachinesvirtuelles,celamarcheassezbiendanslemonderel(aquelquesadaptationsfaciles
17/24
9/2/2015
OSSEC
prs)enpromettantdepasnoyerunpauvreadministrateursousuntasdefaussesalertes.
OSSEC:lavieenvrai
Logintopostcomments
1015reads
systme:
Linux
installation
securit
J'aidoncinstallOSSECsurunserveur"rel"etjel'ailaissfonctionnerquelquestempssanstoucherauparamtrage.
Surcemmeserveurtournentquelquesoutilsdescurit(AIDEetTIGER),Jevaispouvoircomparerlesrsultats.
LeplusdeOSSECestlesignalementrapideparmaildesproblmes.Unedtectionparl'IDS(Snort)estsignalerapidement.
Aprsunoudeuxjoursj'aiconstatquelasurveillancedecertainsrpertoiresn'taitpasinstallepardfaut,seulslesrpertoires
"etc"etlagammedes"bin"taientsurveills,j'yaidoncajout(fichier/var/ossec/etc/ossec.conf)lesrpertoires"/lib"et"/usr/lib".
Leslignesconsidressontactuellementlessuivantes:
<directoriescheck_all="yes">/etc,/usr/bin,/usr/sbin</directories>
<directoriescheck_all="yes">/bin,/sbin,/lib,/usr/lib</directories>
J'attendslesrsultatsduprochainpassage.
J'aiaussiessaydemettresoussurveillanceleserveurFTP(proftpd)carilexistedeslmentsdeconfigurationprvuspourluimais
misencmmentaires.Jelesaidoncactivset,laussi,j'attendslesrsultats,ilsuffitqu'unpetitmalinvienne"titiller"ceFTPpourque
jepuissevrifiersiladtectionestcorrecte.Onpourraalorsvoirsila"rponseactive"bloquebienlesIPdecesoffenseurs.
Cetarticlevavolueraufildutempspourprsenterlesajustementsdeparamtrage.
OSSEC:aprsquelquessemaines
Logintopostcomments
961reads
systme:
Linux
installation
securit
AprsquelquessemaineslavieavecOSSECsepassetrsbien.Lenombredemessagesn'estpastrslev,sauflorsdemises
jourlogiciellessurl'unedesmachines.Cellecidclencheeneffetuncertainnombredemessagespour:
lamisejourellemme(dtectionsurdpkg.log)
lamodificationdesprogrammes(changementdel'empreinte)
Lesmessagessurviennenttrsrapidementaprslamisejouret,trssouvent,lesmessagesgroupentuncertainnombrede
modificationscequirduitfortementlenombredemessages.
Onvoitrapidementlestentativesd'accsindues,tousles"rigolos"quiessayentdeforcervotremotdepasseSSH...ilsessayenten
gnrallesusers"Administrator"ouparfois"Administrateur",C'estbizarrecelmeditquelquechosecegenredeuser...
Toutesleserreursdeconnexion,aveclesmotsdepasselagommequ'onestobligd'utiliserilestvitefaitdesemlangerles
doigtsetdefrapperunmotdepasseerron.
Demmelestentativesd'accssurleserveurFTPsontsignaleset,enprime,OSSECbloquel'IPcorrespondantependantuntemps
paramtrable(600secondespardfaut).
LamachineOSSECtantaussimapasserelleInternetilfautsoigneusementmettreen"Whitelist"lesmachinesdurseauinternecar
siellesfontdeschosesnonprvues(ou"vilaines")leurIPestbloqueassezrapidement.
J'aiainsiconstatqu'unsimple"aptgetupdate"vachercherdesfichiersquin'existentpassurlesserveursetleproxySQUIDnote
soigneusementcesaccs"loups"cequidclencheunmessageetleblocagedel'IP"fautive",laWhiteListesticilabienvenue.
ExempledemessageOSSEC:
OSSECHIDSNotification.2010Sep1423:29:39
ReceivedFrom:xxxxx>syscheck
Rule:550fired(level7)>"Integritychecksumchanged."
Portionofthelog(s):
Integritychecksumchangedfor:'/etc/bind/db.192.1'
Ownershipwas'0',nowitis'105'
Oldmd5sumwas:'99bd18192e46198c2330a2f4b715fd00'
Newmd5sumis:'146b5b6ddd094f633f1f55961ed17055'
Oldsha1sumwas:'aeacec95643c35ab23f9b45fdc0b4d137a04a38d'
Newsha1sumis:'39ccae1efc06a417b856242694fbe0931836b623'
ENDOFNOTIFICATION
Eneffetj'aiprocdunemisejourd'unfichierdemonpetitDNSinterne,lesignalementestrapide.
18/24
9/2/2015
OSSEC
OSSECHIDSNotification.2010Sep1523:17:02
ReceivedFrom:(pcnic)192.168.1.7>syscheck
Rule:550fired(level7)>"Integritychecksumchanged."
Portionofthelog(s):
Integritychecksumchangedfor:'ossec.conf'
Oldmd5sumwas:'91e2cfd5503cb7eeee496f6b83a195b4'
Newmd5sumis:'be35b5b28f893182a6c730e9533ed64d'
Oldsha1sumwas:'e0d47353e1d3339a7d4a5b080fb2853ed1ad8cc0'
Newsha1sumis:'c25c7b4d2a6ea97c842f106df645874c5985a5ea'
ENDOFNOTIFICATION
Lj'aiajustunerglepourmodifierlesconditionsdesyschecksurlerpertoire"c:\programfiles",laractionattrsrapidecar
l'option"realtime"estactivesurlesrpertoires"sensibles".
PourlesmachinesWindowsj'attendsleprochain"patchtuesday"pourvoircequiestdclench.
Enbrefc'estuntrsbonlogicielquisembletrscomplet.Leparamtrageoffredegrandespossibilitspour"filtrer"desmessages
superflus,lemot"error"dansunmessageloguesttrsmalvu!Jesuisabonnunelistededistributiondontl'adressederetourpar
dfautcomportelemotfatidique"error@....",unepetitesurchargedergleetletourestjou,lesmessagesdulogcomportantun
destinataire"error@...."nedclenchentplusrien.
Ilfautessayerd'treassezprcisdanscetypedefiltrepournepascacherdevrais"ERRORS".
Cayest,lespatchsWindowssontarrivsetilyena11.JedclenchecettemisejouretjevaisobserverlesmessagesdeOSSEC
dsleurarrive.
Tiensc'estcurieux,djuneheuredepasseetaucunmessage?!?!
LamachineenquestionvientdemigrersurunnouveaumatrielprocesseurATOMetcarteminidanslemmeboitierqueceluidu
petitfrontalInternetpourunencombrementetuneconsommationminimum.
J'attendsleprochainpassagedepatchs.
OSSEC:filtragederegles
Logintopostcomments
1323reads
systme:
Linux
performance:
Monitoring
Ilarrivequecertainsmessagespourtant"normaux"devotresystmeencombrentinutilementlesmailsenvoysparOSSEC.
CertainslogicielslaissentdestracesdansleslogssystmesetOSSECrepreces"anomalies",ilestparticulirementsensible
certainsmots"failed","error"...
Siunedevosapplicationsgnredetelsmessagesilfautinstallerunfiltresecondairepermettantd'liminerces"faussesalertes".
Ilfautalorsrcuprerlenumrodelargleoffensedanslemessage(la1002estparticulirementsensible)etcrerunergle
dpendanteliminantlecasgnant.
Lefichier"local_rules.xml"estdestinceteffet.
Parexemple:
Xenmegnrergulirementdesmessages"thisfunctionisnotsupportedbythehypervisor:virConnectNumOfInterfaces"etc'est
encorelargle1002quireprecetruc.
Ilsuffitd'ajouterdanslefichierlocal:
<match>thisfunctionisnotsupportedbythehypervisor:virConnectNumOfInterfaces</match>
<description>erreurs</description>
</rule>
Ilfautdonner:
Unnumrovotrergle(>100000),ici101117etunniveaud'erreur.Unniveauzroannulelaconditiond'erreur<balise
<rule...>.OnpourraitaussirendreuneerreurplusgraveenaugmentantsonLEVEL.
Largleoffense(icilafameusergle1002)balise<if_sid>
Letextedumessage,aveclesblancs(jenesuispasunspcialistedesexpressionsrgulires...)
Unedescriptionetc'estfini.
UnpetitrestartdeOSSECetlemessageennuyeuxs'vanouit!
Pourdesmessagespluscomplexes,comportantparexempledespartiesvariablesilfautenchanerdeuxrglesdpendantes:
<match>devicetap</match>
19/24
9/2/2015
OSSEC
</rule>
<match>enteredpromiscuousmode</match>
</rule>
Lemessageainterceptercomportaitunepartievariable:lenumrode"tap"concern,rappel:jenesuispasunspcialistedesexpressionsrgulires...).
Bonfiltrage...
OSSEC:passageenDebian6
Logintopostcomments
1576reads
systme:
Linux
performance:
Monitoring
J'aidernirementpasslamachineserveurdeOSSECdeDebian5(lenny)versDebian6(Squeeze)etlorsd'unemisejour
suivanteOSSECarefusdedmarreravecunmessage"libmysqlclient_15notfound".
J'aivrifilaversioninstalle,c'taitla16quiavaitdsinstallla15.
EnattendantdetesterunenouvelleversiondeOSSEC(2.5.1,versionactuelle2.4.1)j'aicherchotrouvercettefoutuelibrairie.
QuelquesrecherchessurlesiteDebianm'ontmontrquecepaquettaitdisponibledans"Lenny"sourlenom"libmysqlclient15off",le
tempsmettrelabonnelignedansmonfichier"source.list"
un"aptgetupdate"etun"aptgetinstalllibmysqlclient15off"
plustardtoutestOK.
CepaquetsembleexisteraussipourUbuntudanscertainsdepots"universe".
Leprochainarticleseraconsacrl'upgradedeOSSEC2.4.1en2.5.1aveclesproblmespnibles(pastropj'espre)d'unemise
niveauparunfichier"tar.gz".
OSSEC:passageversion2.6
Logintopostcomments
904reads
systme:
Linux
installation
performance:
Monitoring
J'aidcidd'upgradermoninstallationdeOSSECde2.4en2.6,ilfautresterlapointeduprogrs.
J'aidonctlchargletar.gzdela2.6etjel'aiinstalldansunpetitcointoutpropre.
L,danslerpertoireprincipalunjolipetitscript"install.sh"nousattends.
Mais,d'abordsauvegardonslecontenu"actuel"dulogiciel:/var/ossec.
Ensuiteseulementonpeutfrapperlefatidique"./install.sh",Ehmaisnon,ilfautd'abordactiverl'accsMysql.Onvadanslerpertoire
"src"etonchanteunpetittruccomme"makesetdb"et...l'incantationfonctionne.
Unpetit"cd.."etletentant"./install.sh"
**Parainstalaoemportugus,escolha[br].
**
[cn].
**FureinedeutscheInstallationwohlenSie[de].
**
[el].
**ForinstallationinEnglish,choose[en].
**ParainstalarenEspaol,eliga[es].
**Pouruneinstallationenfranais,choisissez[fr]
**Perl'installazioneinItaliano,scegli[it].
**
[jp].
**VoorinstallatieinhetNederlands,kies[nl].
**Abyinstalowa
wj
zykuPolskim,wybierz[pl].
**
,
[ru].
**Zainstalacijunasrpskom,izaberi[sr].
**Trkekurulumiinsein[tr].
(en/br/cn/de/el/es/fr/it/jp/nl/pl/ru/sr/tr)[en]:fr
Ilyaquelqueshiroglyphesmaisjechoisisbravement"fr".
OSSECHIDSv2.6Scriptd'installationhttp://www.ossec.net
Voustessurlepointd'installerOSSECHIDS.
20/24
9/2/2015
OSSEC
VousdevezavoirunecompilateurCprinstallsurvotresystme.
Sivousavezdesquestionsoudescommentaires,envoyezunemail
dcid@ossec.net(oudaniel.cid@gmail.com).
Systme:Linuxkmail2.6.39
Utilisateur:root
Hte:kmail
Aprsunappuisurentre:
Vousavezdjinstallossec.voulezvouslemettrejour?(o/n):o
Voulezvousmettrejourlesrgles?(o/n):o
Aprs2"o"+entrelacompilationdmarreet
StartingOSSECHIDSv2.6(byTrendMicroInc.)...
OSSECanalysisd:Testingrulesfailed.Configurationerror.Exiting.
/var/ossec/bin/ossecdbd:/usr/lib/libmysqlclient.so.15:version`libmysqlclient_15'notfound(requiredby
/var/ossec/bin/ossecdbd)
Latuile,OSSECutiliseunevieilleversiondelalibrairieMysqlClient,heureusementquej'aiaussidevieillesmachinesquipossdent
encorecettelibrairie,jecopieletoutdans/usr/lib:
lrwxrwxrwx1rootroot24Aug223:19libmysqlclient.so.15>libmysqlclient.so.15.0.0
rwrr1rootroot1993916Feb172009libmysqlclient.so.15.0.0
lrwxrwxrwx1rootroot26Aug223:19libmysqlclient_r.so.15>libmysqlclient_r.so.15.0.0
rwrr1rootroot2002908Feb172009libmysqlclient_r.so.15.0.0
C'estpastrsbeau(horrible?)defairecettechosedansunbeausystmeDebianbienordonnmaisunpetittourdanslefichier
"Contents...."nememontreaucunelibrairieenversion15accessibledanslesmagasinsojemesershabituellement.Auxgrands
mauxlesgrandsmoyens.
Unpetit"serviceossecstart"etaucunmessaged'insulte,toutestOK.
LesprocessesOSSEContl'air"psef|grepossec"d'trel.Unpetittourparl'interfacegraphiquepourconstaterqueleserveura
repriscontactavecsesclientsprfrsetquetoutsemblebaignerdansleplusparfaitbonheur.
Aufaitj'aigardletardeslibrairiesdansunmagnifiquerpertoiredesauvegardedevieuxtrucs,pse#4Mo.
OSSEC:version2.7etnouveauserveur
Logintopostcomments
657reads
systme:
installation
performance:
Monitoring
L'anciennemachinetaittrsconomiquemaissonprocesseur32bitscommenaitdater,parexemplelesnouvellesversionsde
ZIMBRAnesefontplusqu'en64bits.
Iltaitdoncncessairedepassersurunecartemre64bitsavecunCorei3enversionECOTDPde35Wmaxidanslemmeboitier.
Jepassel'installation(toujoursDebian)pourenarriverOSSECenversion2.7.
L'installationparellemmen'apaschang,voirleschapitresprcdents.
Toutefois,pourchangerunpeu,jen'aipasintgrOSSECdanslabaseMYSQLdeZIMBRAmaisj'aiutilisunebasePostgreSQL.
Laprocdureestidentique(ontravailledanslesrpertoires"sources"etnondanslesrpertoiresd'installationdulogiciel):
cdmes_sources_OSSEC/src
21/24
9/2/2015
OSSEC
makesetdb
cd..
./install.sh
cdrpertoire_d_installation
./binosseccontrolenabledatabase
Ilfautalors,commepourMYSQLmettreenplace(audbutdufichieretc/ossec.confleparamtragedenotrebasePostgreSQL,parexempleendbut
defichier:
<ossec_config>
<database_output>
<hostname>127.0.0.1</hostname>
<port>5432</port>
<username>mon_user_ossec</username>
<password>le_password_qui_tue</password>
<database>ma_base_ossec</database>
<type>postgresql</type>
</database_output>
</ossec_config>
IlfautensuitecrerunebasePostgreSQLavecleuserquivabienetinitialisercettebasel'aideduscriptdanslerpertoire
"rpertoire_source/ossechids2.7/src/os_dbd",onlancealorspsqlpourcrerlestables:
psqlUun_user_adminWma_base_ossec<postgresql.schema
OnpeutensuitedmarrerOSSECetletourestjou.
Maistoutac'taitavantladcouverted'unnouvelinterfaceWebpourOSSEC:ANALOGI.
Cetinterfaceestpremirevuesurprenantmaistrsefficacce,manquedepotilnemarchequ'avecMYSQL,doncexitPostgreSqletretourMysql.
ViteunarticlesurANALOGI.
OSSEC:2.7etinterfaceWebANALOGI
Logintopostcomments
956reads
systme:
installation
performance:
Monitoring
Eninstallantlanouvelleversion2.7j'aicherchuninterfaceWebunpeuplus"sexy"quel'ancieninterfaced'OSSEC.Encherchantun
peujesuistombsurAnaLogietj'aidciddeletester,maiscommeindiqudansl'articleprcdentpasdePostgreSqlavec
AnaLogi.
Onletrouvel'URLsuivante:https://github.com/ECSC.
L'installationestassezsimple,ondzippelemachindansuncoinetonsedbrouillepourqueApachesoitcapabledeletrouver(sivousprfrezNginx
celanedevraitpasposerdeproblmes).
Ajouterdans"sitesavailable"lefichier"ANALOGI"contenant:
<VirtualHost127.0.0.1:83>
ServerAdminwebmaster@localhost
ServerNameanalogi.xxxx.xxx
Include/etc/apache2/sitesavailable/ANALOGI_body
</VirtualHost>
L'adresseen127.0.0.1estduel'utilisationde"haproxy"pouraiguillerlesrequtes,vouspouvezbienentendumettredirectementuneadressevisiblede
l'extrieur.
LefichierANALOGI_bodycontient:
#"Body"dusiteAnaLogi
DocumentRoot/opt/AnaLogi
<Directory/>
OptionsFollowSymLinks
AllowOverrideNone
</Directory>
<Directory/opt/AnaLogi>
OptionsIndexesFollowSymLinksMultiViews
AllowOverrideNone
Orderallow,deny
allowfromall
</Directory>
DirectoryIndexindex.php
ErrorLog/var/log/apache2/ANALOGI_error.log
#Possiblevaluesinclude:debug,info,notice,warn,error,crit,
22/24
9/2/2015
OSSEC
#alert,emerg.
LogLevelwarn
LogFormat"%{XForwardedFor}i%l%u%t\"%r\"%>s%b\"%{Referer}i\"\"%{User
Agent}i\""personnel
CustomLog/var/log/apache2/ANALOGI_access.logpersonnel
Crerensuitelelienadquatde"sitesenabled"vers"sitesavailable"etrelancerApache.
Lapaged'accueilprsentedslelancementunrcapitulatifdesrsultats:
Enbaslesprincipaux"problmes"rencontrs,ceslienssontcliquablesetmnetunepagedtail.
Larechercheestdonctrsrapide.
Lazone"Filters"permetde:
Limiterlapriode,
Effectuerunestatistiqueparsource(machine)
Parchemin(rpertoired'originedesinformations)
Parniveau.
Parrgle.
Lazone"TopLoc"donnelaprincipaleoriginedesmessages.lazone"Rare"signalelesvnementsunpeuoriginauxquipeuventtrelesplusintressants.
Leslienscliquablesmnentsurunepagedtailquiprsenteunecourbeenfonctiondutempsetledtaildesalertesenpartiebasse.
L'exempleaffichiciconcernedestentativesderelaisdemailavectoujourslemmeemmerdeurquiveutenvoyerunmail"therichsheickc@yahoo.com"
,laplupartdesserveursnesontpasenrelaisouvertcegenrede"truc"estdoncunpeuinutile.
Laprioded'affichageestrglepardfaut72heurescequiestbeaucouppourmoi,maisilesttrsfaciledemodifiercettevaleur:
Fichier=config.php
Lignemodifier:"$glb_hours=72"
Jel'aimis12heurescequimesemblesuffisant.
23/24
9/2/2015
OSSEC
EnbrefjesuisenchantdecetinterfacequisimplifiegrandementlavrificationdesanomaliesinterceptesparOSSEC,utiliseretconseillersans
modration.
24/24

Ossec PDF

Загружено:

Сведения о документе

Оригинальное название

Авторское право

Доступные форматы

Поделиться этим документом

Поделиться или встроить документ

Параметры публикации

Этот документ был вам полезен?

Это неприемлемый материал?

Авторское право:

Доступные форматы

Ossec PDF

Загружено:

Авторское право:

Доступные форматы

9/2/2015

Вам также может понравиться