De acordo com as Leis 12.965/2014 e 13.709/2018, que regulam o uso da Internet e o tratamento de dados pessoais no Brasil, ao me inscrever na newsletter do portal DICAS-L, autorizo o envio de notificações por e-mail ou outros meios e declaro estar ciente e concordar com seus Termos de Uso e Política de Privacidade.

Ossec HIDS 2.6 Beta Testing - Novas funcionalidades

Colaboração: Alexandro Silva

Data de Publicação: 20 de junho de 2011

O Ossec HIDS 2.6 está no forno. A versão beta desta que para mim é uma das melhores ferramentas de segurança da atualidade foi anunciada recentemente pelo Daniel Cid, criador e principal mantenedor.

Venho acompanhando a evolução desta versão através do respositório no Bitbucket.

Vejam algumas funcionalidades anunciadas:

  • Suporte IPv6
  • Novas regras para OpenBSD, Clamav, BRO-ids, active response logs,etc
  • Criação e configuração automatizada das chaves dos agentes através do os-authd
  • Melhorias nos relatórios de alteração dos arquivos
  • Bloqueio contra tentativas de intrusão repetitivas

Algumas destas novas funcionalidades estão sendo bastante úteis no meu dia a dia.

Relatórios de alteração dos arquivos

A checagem de integridade faz parte do Ossec desde de sua criação. Este versão diponibiliza uma relatório mais apurado dos arquivos alterados. Um exemplo interessante é o monitoramento das alterações dentro do diretório /var/www. Para isso adicione uma tag directories dentro do arquivo /var/ossec/etc/ossec.conf com as seguintes opções: 

  realtime="yes"
  report_changes="yes"

Info:

  • realtime - Fará o monitoramento em tempo real do diretório
  • report_changes - Informará o que foi alterado em um arquivo

OBS: Outras opções podem ser encontradas no Manual do Ossec HIDS

Segue o exemplo de um simples relatório gerado após está alteração: 

  zcat /var/ossec/logs/alerts/2011/May/*.gz | /var/ossec/bin/ossec-reportd

  Top entries for 'Filenames':
  ------ ------ ------ ------ ------ -------
  /etc/apache2/sites-available/XXX..   | 3 |
  /etc/apache2/sites-enabled/XXX       | 3 |
  /etc/ld.so.cache                     | 2 |
  /etc/ossec-init.conf                 | 2 |
  /etc/alternatives/www-browser        | 1 |
  /etc/alternatives/www-browser.1.gz   | 1 |
  /etc/apache2/sites-available/XXX     | 1 |
  /etc/apache2/sites-enabled/XXX       | 1 |
  /etc/init.d/.depend.boot             | 1 |
  /etc/init.d/.depend.start            | 1 |
  /etc/init.d/.depend.stop             | 1 |
  /etc/mailcap                         | 1 |
  /usr/bin/www-browser                 | 1 |

Bloqueio contra tentativas de intrusão repetitivas

Isso soa como música para meus ouvidos. Venho usando esta funcionalidade a algum tempo e realmente faz a diferença em servidores muito visados com os de FTP por exemplo. Para habilitá-la siga o exemplo apresentado no blog do DCid

Os desenvolvedores do Ossec HIDS estão mandando muito bem. Por enquanto não estou encontrando bugs nos testes desta versão beta, tenham certeza que eles estão sendo realizados em sistemas onde as tentativas de invasão são constantes.

Blog do autor: http://alexos.org

Adicionar comentário

* Campos obrigatórios
5000
Powered by Commentics

Comentários

Nenhum comentário ainda. Seja o primeiro!


Veja a relação completa dos artigos de Alexandro Silva