De acordo com as Leis 12.965/2014 e 13.709/2018, que regulam o uso da Internet e o tratamento de dados pessoais no Brasil, ao me inscrever na newsletter do portal DICAS-L, autorizo o envio de notificações por e-mail ou outros meios e declaro estar ciente e concordar com seus Termos de Uso e Política de Privacidade.
Colaboração: Alexandro Silva
Data de Publicação: 28 de Junho de 2007
Um Host IDS monitora eventos e logs de hosts e servidores para detectar atividades suspeitas. Ele aplica análise de assinatura contra múltiplos eventos de log e de comportamento do sistema, pode também tomar ações pró-ativas como barrar todo o tráfego para o host infectado.
O OSSEC é um Host IDS Open Source criado pelo Daniel Cid. Ele é usado para análise de log, detecção de rootkits, alertas e repostas pró-ativas.
Este artigo foi implementado no Ubuntu Linux
sudo apt-get install build-essential
cd ~ mkdir temp cd temp wget http://www.ossec.net/files/ossec-hids-1.1.tar.gz wget http://www.ossec.net/files/ossec-hids-1.1_checksum.txt
Antes de seguir com a descompactação, verifique o checksum no arquivo .txt usando os comandos
Nota: Esse procedimento é muito importante!!! Não deixe de fazê-lo!!!
cat ossec-hids-1.1_checksum.txt md5sum ossec-hids-1.1.tar.gz sha1sum ossec-hids-1.1.tar.gz
tar -zxvf ossec-hids-1.1.tar.gz cd ossec-hids-1.1
sudo -s ./install.sh
** Para instalação em português, escolha [br]. ** Fur eine deutsche Installation wohlen Sie [de]. ** For installation in English, choose [en]. ** Per l'installazione in Italiano, scegli [it]. ** Aby instalować w języku Polskim, wybierz [pl]. ** Türkçe kurulum için seçin [tr]. (en/br/de/it/pl/tr) [en]: en <enter>
Uma tela com informações gerais sobre o sistema irá aparecer. Pressione <ENTER> quando necessário
OSSEC HIDS v1.1 Installation Script - http://www.ossec.net You are about to start the installation process of the OSSEC HIDS. You must have a C compiler pre-installed in your system. If you have any questions or comments, please send an e-mail to dcid@ossec.net (or daniel.cid@gmail.com). - System: Linux matrix 2.6.17-386 - User: root - Host: matrix -- Press ENTER to continue or Ctrl-C to abort. -- <enter>
1 - What kind of installation do you want (server, agent, local or help)? local <enter>
2 -Choose where to install the OSSEC HIDS [/var/ossec]: <enter>
Selecione as notificações que deseja receber. O ideal é ativar todas, porém isso fica a seu critério
3 - Configuring the OSSEC HIDS.
3.1- Do you want e-mail notification? (y/n) [y]: y
- What's your e-mail address? youremail@yourdomain.com
- What's your SMTP server ip/host? your smtp server address (localhost)
3.2- Do you want to run the integrity check daemon? (y/n) [y]: y
- Running syscheck (integrity check daemon).
3.3- Do you want to run the rootkit detection engine? (y/n) [y]: y
- Running rootcheck (rootkit detection).
3.4- Active response allows you to execute a specific
command based on the events received. For example,
you can block an IP address or disable access for
a specific user.
More information at:
http://www.ossec.net/en/manual.html#active-response
- Do you want to enable active response? (y/n) [y]: y
- Active response enabled.
- By default, we can enable the host-deny and the
firewall-drop responses. The first one will add
a host to the /etc/hosts.deny and the second one
will block the host on iptables (if linux) or on
ipfilter (if Solaris, FreeBSD or NetBSD).
- They can be used to stop SSHD brute force scans,
portscans and some other forms of attacks. You can
also add them to block on snort events, for example.
- Do you want to enable the firewall-drop response? (y/n) [y]: y
- firewall-drop enabled (local) for levels >= 6
- Default white list for the active response:
- 192.168.0.1
- Do you want to add more IPs to the white list? (y/n)? [n]: n
3.6- Setting the configuration to analyze the following logs:
-- /var/log/messages
-- /var/log/auth.log
-- /var/log/syslog
-- /var/log/mail.info
-- /var/log/apache2/error.log (apache log)
-- /var/log/apache2/access.log (apache log)
- If you want to monitor any other file, just change
the ossec.conf and add a new localfile entry.
Any questions about the configuration can be answered
by visiting us online at http://www.ossec.net .
--- Press ENTER to continue ---
- Unknown system. No init script added.
- Configuration finished properly.
- To start OSSEC HIDS:
/var/ossec/bin/ossec-control start
- To stop OSSEC HIDS:
/var/ossec/bin/ossec-control stop
- The configuration can be viewed or modified at /var/ossec/etc/ossec.conf
Thanks for using the OSSEC HIDS.
If you have any question, suggestion or if you find any bug,
contact us at contact@ossec.net or using our public maillist at
ossec-list@ossec.net
(http://mailman.underlinux.com.br/mailman/listinfo/ossec-list).
More information can be found at http://www.ossec.net
--- Press ENTER to finish (maybe more information bellow). ---
Crie um script de inicialização. Copie este código e salve o arquivo ossec no diretório /etc/init.d
#!/bin/sh
case "$1" in
start)
/var/ossec/bin/ossec-control start
;;
stop)
/var/ossec/bin/ossec-control stop
;;
restart)
$0 stop && sleep 3
$0 start
;;
reload)
$0 stop
$0 start
;;
*)
echo "Usage: $0 {start|stop|restart|reload}"
exit 1
esac
Mude as permissões para execução
cd /etc/init.d chmod +x ossec
Execute este comando para adicioná-lo em todos os runlevels
update-rc.d ossec defaults
/etc/init.d/ossec start Starting OSSEC HIDS v1.1 (by Daniel B. Cid)... Started ossec-maild... Started ossec-execd... Started ossec-analysisd... Started ossec-logcollector... Started ossec-syscheckd... Completed.
Agora que o seu host ids está instalado e rodando verifique sempre as notificações. Se você quiser poderá criar novas regras, acesse a documentação do Ossec IDS para saber como criá-las.
Colaboração: Luis Marcelo Achite
Estamos procurando um Profissional de Computacao, que tenha habilidade para trabalhar no desenvolvimento de sistemas de bancos de dados WEB, bem como que tenha um certo conhecimento do ambiente Unix/Linux, Windows, integracao desses dois ambientes e suporte de hardware e software a usuarios.
O prossional escolhido ira trabalhar diretamente com o Gerente de TI do Instituto na sede do Instituto em São Jose dos Campos/SP, e ira atuar nas seguintes areas:
A carga-horario semanal do sera de 40 horas (8 horas diarias). O horario de trabalho sera das 8:00 as 12:00 e 13:30 as 17:30 (uma certa flexibilidade podera ser aceita).
O salario inicial sera de R$1800,00 com os seguintes beneficios: Vale-Refeicao, Plano de Saude e Curso de Ingles.
Os interessados devem enviar um e-mail para <lmachite (a) dir iai int> com o respectivo Curriculum Vitae anexado nos formatos PDF, DOC ou RTF. Incluir "Profissional de Computacao para o IAI" no campo SUBJECT de sua mensagem. O processo seletivo fica aberto ate a devida selecao e contratacao de um profissional qualificado.
Atenciosamente.
Luis Marcelo Achite ñ Gerente de Informatica do IAI ñ
This policy contains information about your privacy. By posting, you are declaring that you understand this policy:
This policy is subject to change at any time and without notice.
These terms and conditions contain rules about posting comments. By submitting a comment, you are declaring that you agree with these rules:
Failure to comply with these rules may result in being banned from submitting further comments.
These terms and conditions are subject to change at any time and without notice.
Comentários