Instalando o Ossec HIDS Server

Colaboração: Alexandro Silva

Data de Publicação: 01 de Outubro de 2009

O OSSEC é um escalável, multi-plataforma, e open source HIDS. Ele integra análise de log, checagem de integridade de arquivos, monitoramento do registro do Windows, politica centralizada, detecção de rootkit, alerta em tempo real e resposta automática.

Nesta série de 03 artigos faremos a instalação do Ossec como servidor, da interface Web do Ossec e de um agente.

Agora é a hora da diversão!!!

Instale as dependências necessárias para o Ossec e Ossec-WUI

  aptitude -y install apache2 python openssl php5 php-pear php5-xsl curl
  libcurl3 libcurl3-dev php5-curl build-essential libmysqlclient-dev libssl-dev
  libsnmp-dev libapache2-mod-php5 php5-gd

Baixe o Ossec

  wget -c http://www.ossec.net/files/ossec-hids-2.2.tar.gz

Descompacte o arquivo e acesse o diretório criado

  tar -xvf ossec-hids-2.2.tar.gz
  cd ossec-hids-2.2

Execute o arquivo install.sh para iniciar a instalação do Ossec

  ./install.sh
  
  ** Para instalação em português, escolha [br].
  ** Fur eine deutsche Installation wohlen Sie [de].
  ** For installation in English, choose [en].
  ** Para instalar en Español , eliga [es].
  ** Pour une installation en français, choisissez [fr]
  ** Per l'installazione in Italiano, scegli [it].
  ** Voor installatie in het Nederlands, kies [nl].
  ** Aby instalować w języku Polskim, wybierz [pl].
  ** Za instalaciju na srpskom, izaberi [sr].
  ** Türkçe kurulum için seçin [tr].
  (en/br/cn/de/el/es/fr/it/jp/nl/pl/ru/sr/tr) [en]: br [ Digite o idioma para instalação]
  
  OSSEC HIDS v2.2 Script de instalação - http://www.ossec.net
  
  Você está iniciando o processo de instalação do OSSEC HIDS.
  Você precisará de um compilador C pré-instalado em seu sistema.
  Qualquer dúvida, sugestões ou comentários, por favor, mande um e-mail para
  dcid@ossec.net (ou daniel.cid@gmail.com).
  
  - Sistema: Linux debian 2.6.26-2-686
  - Usuário: root
  - Host: debian
  
  -- Aperte ENTER para continuar ou Ctrl+C para abortar. --
  
  1- Que tipo de instalação você deseja (servidor, cliente, local ou ajuda)? servidor [ Digite a opção 'servidor']
  
  - Escolhida instalação servidor.
  
  2- Configurando o ambiente de instalação.
  
  - Escolha onde instalar o OSSEC HIDS [/var/ossec]: [Pressione ENTER]
  
  - A instalação será feita no diretório /var/ossec .
  
  3- Configurando o OSSEC HIDS.
  
  3.1- Deseja receber notificações por e-mail? (s/n) [s]: [Pressione ENTER]
  
  - Qual é o seu endereço de e-mail? alexos-alertas@gmail.com [INFORME SEU EMAIL AQUI]
  - Seu servidor SMTP foi encontrado como: gmail-smtp-in.l.google.com.
  - Deseja usá-lo? (s/n) [s]: [Pressione ENTER]
  --- Usando servidor SMTP:  gmail-smtp-in.l.google.com.
  
  3.2- Deseja habilitar o sistema de verificação de integridade? (s/n) [s]: [Pressione ENTER]
  
  - Syscheck (Sistema de verificação de integridade) habilitado.
  
  3.3- Deseja habilitar o sistema de detecção de rootkis? (s/n) [s]: [Pressione ENTER]
  
  - Deseja habilitar o sistema de respostas automáticas? (s/n) [s]: n [ LEIA A NOTA SOBRE ESTE ITEM ]

NOTA: O sistema de respostas automáticas por padrão pode habilitar o 'host-deny' e o 'firewall-drop'. O primeiro adicionará um host ao /etc/hosts.deny e o segundo bloqueará o host no 'iptables' (se linux) ou no ipfilter (se Solaris, FreeBSD ou NetBSD). Eles podem ser usados para parar 'SSHD brute force scans', portscans e outras formas de ataque. Você pode também realizar bloqueios baseados nos alertas do snort, por exemplo.

  3.5- Deseja habilitar o syslog remoto (514 udp)? (s/n) [s]: n [ Digite 'n' se não possuir um syslog remoto ]
  
  --- Syslog desabilitado.
  
  3.6- Ajustando a configuração para analisar os seguintes logs:
  -- /var/log/messages
  -- /var/log/auth.log
  -- /var/log/syslog
  -- /var/log/mail.info
  -- /var/log/dpkg.log
  -- /var/log/apache2/error.log (apache log)
  -- /var/log/apache2/access.log (apache log)
  
  - Se quiser monitorar qualquer outro arquivo, modifique
  o ossec.conf e adicione uma nova entrada para o arquivo.
  Qualquer dúvida sobre a configuração, visite http://www.ossec.net/hids/ .
  
  --- Pressione ENTER para continuar ---

A seguinte mensagem surgirá após as mensagens do processo de instalação :

  - O Sistema é Debian (Ubuntu or derivative).
  - O script de inicialização foi modificado para executar o OSSEC HIDS durante o boot.
  
  - Configuração finalizada corretamente.
  
  - Para iniciar o OSSEC HIDS:
  /var/ossec/bin/ossec-control start
  
  - Para parar o OSSEC HIDS:
  /var/ossec/bin/ossec-control stop
  
  - A configuração pode ser vista ou modificada em /var/ossec/etc/ossec.conf
  
  Obrigado por usar o OSSEC HIDS.
  Se você tiver alguma pergunta, sugestão ou encontrar algum
  "bug", nos contate através do e-mail contact@ossec.net ou
  utilize nossa lista de e-mail:
  ( http://www.ossec.net/main/support/ ).
  
  Maiores informações podem ser encontradas em http://www.ossec.net
  
  ---  Pressione ENTER para continuar  ---

Você precisa adicionar cada um dos clientes antes que estejam autorizados a acessar o servidor. Execute o 'manage_agents' para adicioná-los ou removê-los:

  /var/ossec/bin/manage_agents

Mais informações em http://www.ossec.net/en/manual.html#ma

Feito. O Ossec server está instalado, agora iremos iniciá-lo. No próximo artigo faremos a instalação do Ossec-WUI

  /var/ossec/bin/ossec-control start
  
  Starting OSSEC HIDS v2.2 (by Trend Micro Inc.)...
  Started ossec-maild...
  Started ossec-execd...
  Started ossec-analysisd...
  Started ossec-logcollector...
  Started ossec-remoted...
  Started ossec-syscheckd...
  Started ossec-monitord...
  
  Completed.

Site do autor http://blog.alexos.com.br