Instalando o Ossec-HIDS agent

Colaboração: Alexandro Silva

Data de Publicação: 03 de Outubro de 2009

Para finalizar nossa trilogia, iremos instalar o Ossec HIDS em outro host mas dessa vez como agente. Após a instalação veremos como ele será apresentado no Ossec-WUI.

Em outro host faremos o download do Ossec HIDS e iniciaremos a instalação seguindo os mesmos passos realizados no servidor

Instale as dependências necessárias

  aptitude -y build-essential

Baixe o Ossec HIDS

  wget -c http://www.ossec.net/files/ossec-hids-2.2.tar.gz

Descompacte o arquivo e inicie a instalação

  tar -xvf  ossec-hids-2.2.tar.gz
  cd ossec-hids-2.2
  
  ./install
  
  OSSEC HIDS v2.2 Script de instalação - http://www.ossec.net
  
  Você está iniciando o processo de instalação do OSSEC HIDS.
  Você precisará de um compilador C pré-instalado em seu sistema.
  Qualquer dúvida, sugestões ou comentários, por favor, mande um e-mail para
  dcid@ossec.net (ou daniel.cid@gmail.com).
  
  - Sistema: Linux debian 2.6.26-2-686
  - Usuário: root
  - Host: debian
  
  -- Aperte ENTER para continuar ou Ctrl+C para abortar. --
  
  1- Que tipo de instalação você deseja (servidor, cliente, local ou ajuda)? cliente [ Digite 'cliente' ]
  
  - Escolhida instalação cliente.
  
  2- Configurando o ambiente de instalação.
  
  - Escolha onde instalar o OSSEC HIDS [/var/ossec]: [Pressione ENTER]
  
  - A instalação será feita no diretório /var/ossec .
  
  3- Configurando o OSSEC HIDS.
  
  3.1- Qual é o endereço de IP do servidor OSSEC HIDS?: [ Informe o IP do servidor instalado anteriormente ]
  
  xxx.xx.xxx.xxx
  
  - Adicionando IP do servidor xxx.xx.xxx.xxx
  
  3.2- Deseja habilitar o sistema de verificação de integridade? (s/n) [s]: [Pressione ENTER]
  
  - Syscheck (Sistema de verificação de integridade) habilitado.
  
  3.3- Deseja habilitar o sistema de detecção de rootkis? (s/n) [s]: [Pressione ENTER]
  
  - Rootcheck (Sistema de detecção de rootkits) habilitado.
  
  3.4 - Deseja habilitar o sistema de respostas automáticas? (s/n) [s]: n [ Digite 'n' ]
  
  - Sistema de respostas automáticas desabilitado.
  
  3.5- Ajustando a configuração para analisar os seguintes logs:
  -- /var/log/messages
  -- /var/log/auth.log
  -- /var/log/syslog
  -- /var/log/mail.info
  -- /var/log/dpkg.log
  
  - Se quiser monitorar qualquer outro arquivo, modifique
  o ossec.conf e adicione uma nova entrada para o arquivo.
  Qualquer dúvida sobre a configuração, visite http://www.ossec.net/hids/ .
  
  --- Pressione ENTER para continuar ---

Após as mensagens do processo de instalação aparecerão as linhas abaixo:

  - O Sistema é Debian (Ubuntu or derivative).
  - O script de inicialização foi modificado para executar o OSSEC HIDS durante o boot.
  
  - Configuração finalizada corretamente.
  
  - Para iniciar o OSSEC HIDS:
  
  /var/ossec/bin/ossec-control start
  
  - Para parar o OSSEC HIDS: 
  /var/ossec/bin/ossec-control stop
  
  - A configuração pode ser vista ou modificada em ``/var/ossec/etc/ossec.conf``
  
  Obrigado por usar o OSSEC HIDS.
  Se você tiver alguma pergunta, sugestão ou encontrar algum
  "bug", nos contate através do e-mail contact@ossec.net ou
  utilize nossa lista de e-mail:
  ( http://www.ossec.net/main/support/ ).
  
  Mais informações podem ser encontradas em http://www.ossec.net
  
  ---  Pressione ENTER para continuar  ---
  
  - Para se comunicar com o servidor, você primeiro precisa
  adicionar este cliente a ele. Quando você tiver terminado,
  use a ferramenta 'manage_agents' para importar a chave de
  autenticação do servidor.
  
  /var/ossec/bin/manage_agents
  
  Mais informações em http://www.ossec.net/en/manual.html#ma

Agora iremos adicionar este agente no servidor instalado anteriormente

No servidor execute os seguintes passos

Execute o manage_agents

  /var/ossec/bin/manage_agents
  
  ****************************************
  * OSSEC HIDS v2.2 Agent manager.     *
  * The following options are available: *
  ****************************************
  (A)dd an agent (A).
  (E)xtract key for an agent (E).
  (L)ist already added agents (L).
  (R)emove an agent (R).
  (Q)uit.
  Choose your action: A,E,L,R or Q: [ Digite A para adicionar um agente ]
  
  - Adding a new agent (use '\q' to return to the main menu).
  Please provide the following:
  * A name for the new agent: teste< strong> [ Digite o nome do agente ]</strong>
  * The IP Address of the new agent: xxx.xxx.xxx.xxx< strong> [ Digite o IP do agente ]</strong>
  * An ID for the new agent[001]: [ Pressione ENTER ou informe um ID ]
  Agent information:
  ID:001
  Name:teste
  IP Address:xxx.xxx.xxx.xxx
  
  Confirm adding it?(y/n): y [ Digite 'y' ]
  
  Agent added.
  
  ****************************************
  * OSSEC HIDS v2.2 Agent manager.     *
  * The following options are available: *
  ****************************************
  (A)dd an agent (A).
  (E)xtract key for an agent (E).
  (L)ist already added agents (L).
  (R)emove an agent (R).
  (Q)uit.
  Choose your action: A,E,L,R or Q:  E [ Digite 'E' para obter a chave do agente ]
  
  Available agents:
  ID: 001, Name: teste, IP: xxx.xxx.xxx.xxx
  Provide the ID of the agent to extract the key (or '\q' to quit): 001 [ Informe o ID do agente ]
  
  Agent key information for '001' is:  [ Guarde esta chave para adicionar na configuração do agente ]
  MDAxIHRlc3RlIDE3Mi4xNi4wLjYgZmRkMDRiM2EyNThlYWM0ZWQ5ODU1NWZmNGY0NjM3YTVjMDI2MzA5NTg1Y2M5NjgyODczNjIxMTdiMzhlZWFlYw==
  
  ** Press ENTER to return to the main menu.
  
  ****************************************
  * OSSEC HIDS v2.2 Agent manager.     *
  * The following options are available: *
  ****************************************
  (A)dd an agent (A).
  (E)xtract key for an agent (E).
  (L)ist already added agents (L).
  (R)emove an agent (R).
  (Q)uit.
  Choose your action: A,E,L,R or Q:  Q [ Digite 'Q'para sair ]
  Reinicie o Ossec Server
  
  /var/ossec/bin/ossec-control restart

Agora iremos configurar o agente Ossec

Execute o manage_agents

  /var/ossec/bin/manage_agents
  
  ****************************************
  * OSSEC HIDS v2.2 Agent manager.     *
  * The following options are available: *
  ****************************************
  (I)mport key from the server (I).
  (Q)uit.
  Choose your action: I or Q: I [ Digite 'I' ]
  
  * Provide the Key generated by the server.
  * The best approach is to cut and paste it.
  *** OBS: Do not include spaces or new lines.
  
  Paste it here (or '\q' to quit): [ Informe aqui a chave gerada pelo Ossec server ] MDAxIHRlc3RlIDE3Mi4xNi4wLjYgZmRkMDRiM2EyNThlYWM0ZWQ5ODU1NWZmNGY0NjM3YTVjMDI2MzA5NTg1Y2M5NjgyODczNjIxMTdiMzhlZWFlYw==
  
  Agent information:
  ID:001
  Name:teste
  IP Address:xxx.xxx.xxx.xxx
  
  Confirm adding it?(y/n): y [ Digite 'y' ]
  
  Added.
  ** Press ENTER to return to the main menu.
  
  ****************************************
  * OSSEC HIDS v2.2 Agent manager.     *
  * The following options are available: *
  ****************************************
  (I)mport key from the server (I).
  (Q)uit.
  Choose your action: I or Q: Q [ Digite 'Q' para sair ]
  
  ** You must restart the server for your changes to have effect.
  
  manage_agents: Exiting ..
  Reinicie o Ossec agent
  
  /var/ossec/bin/ossec-control restart

Acesse o Ossec-WUI e confirme se o agente está sendo monitorado como nos screens abaixo:

Site do autor: http://blog.alexos.com.br