Sécurité informatique · 6 min read · Oct 16, 2025

Détection d'intrusion : Snort (IDS), OSSEC (HbIDS) et Prelude (HIDS) sur Ubuntu Gutsy Gibbon

Détection d’intrusion : Snort (IDS), OSSEC (HbIDS) et Prelude (HIDS) sur Ubuntu Gutsy Gibbon

Tout le monde connaît le problème, vous avez un ou plusieurs outils IDS installés et chaque outil a sa propre interface.

Prelude permettra de consigner tous les événements dans la base de données Prelude et d’être consulté à l’aide d’une seule interface (prewikka). Ce guide expliquera comment installer et configurer les différents outils qui composeront la solution complète.

Ce guide est basé sur des morceaux et des bribes que j’ai trouvés pour résoudre certains problèmes, des parties des manuels et ma propre expérience avec l’installation de la solution complète.

Pour plus d’informations sur Snort, visitez : www.snort.org

Pour plus d’informations sur OSSEC, visitez : www.ossec.net

Pour plus d’informations sur Prelude, visitez : www.prelude-ids.org

Prérequis :

Supposons simplement que vous ayez suivi le guide The Perfect Server - Ubuntu Gutsy Gibbon (Ubuntu 7.10). Si ce n’est pas le cas, suivez ce guide et installez uniquement les parties que vous n’avez pas encore installées sur votre système.

Les paquets suivants sont utiles, alors veuillez vérifier qu’ils sont installés correctement :

apt-get install ntpdate
apt-get install dbconfig-common

Installation et configuration de Prelude

Normalement, nous devrions compiler et installer libprelude, libpreludedb, puis créer les bases de données. Heureusement, les paquets sont fournis par les dépôts Ubuntu.

Gestionnaire Prelude

apt-get install prelude-manager

  • Utilisation des paramètres TLS par défaut de /etc/prelude/default/tls.conf :

  • Taille de clé générée : 1024 bits.

  • Durée de vie du certificat d’autorité : illimitée.

  • Durée de vie du certificat généré : illimitée.

  • Création de l’analyseur prelude-manager.

  • Création de /etc/prelude/profile/prelude-manager…

  • Identifiant attribué pour prelude-manager : 4232957740008155.

  • Génération de la clé privée RSA… Cela peut prendre beaucoup de temps.
    [Augmenter l’activité système accélérera le processus.]

  • Génération de la clé privée RSA de 1024 bits…

Pendant l’installation, le gestionnaire créera le profil pour l’utilisateur prelude. Cela peut prendre un (très) long moment, car GnuTLS essaie d’accéder à /dev/random au lieu de /dev/urandom (pour des raisons de sécurité). Cela pourrait changer à l’avenir (peut-être en utilisant une option pour avoir une génération plus rapide, mais cryptographiquement moins sécurisée).

dbconfig vous demandera ensuite si vous souhaitez qu’il configure la base de données automatiquement. Si vous ne le souhaitez pas, dites simplement non, et configurez tout manuellement (les scripts SQL se trouvent dans le répertoire /usr/share/libpreludedb/). Supposons que la réponse soit oui.

Remarque : le nombre de questions peut changer, en fonction de la verbosité de debconf (définie à l’aide de dpkg-reconfigure debconf), et des paramètres de dbconfig, dans le fichier /etc/dbconfig-common/config.

configurer la base de données avec dbconfig-common : oui  
type de base de données :

Définissez le type sur la base de données que vous avez précédemment installée. Dans ce cas, mysql.

Mot de passe administrateur de la base de données : ******

dbconfig-common demandera un mot de passe pour l’utilisateur ‘prelude’. Si vous ne fournissez rien (en appuyant simplement sur Entrée), il générera un aléatoire. Ne vous inquiétez pas, le fichier de configuration sera mis à jour automatiquement.

dbconfig-common : écriture de la configuration dans /etc/dbconfig-common/prelude-manager.conf  
  
Création du fichier de configuration /etc/dbconfig-common/prelude-manager.conf avec une nouvelle version  
accordant l'accès à la base de données prelude pour prelude@localhost : succès.  
vérification de l'accès pour prelude@localhost : succès.  
création de la base de données prelude : succès.  
vérification de l'existence de la base de données prelude : succès.  
remplissage de la base de données via sql...  fait.  
dbconfig-common : vidage du mot de passe administratif  
Démarrage du Gestionnaire Prelude : prelude-manager.

Le paquet Ubuntu crée automatiquement l’utilisateur et la base de données pour Prelude. Si vous souhaitez changer le mot de passe, faites-le d’abord dans mysql puis dans /etc/prelude-manager/prelude-manager.conf.

Le Gestionnaire Prelude devrait maintenant être en cours d’exécution :

ps auxw | grep manager
prelude 28530  0.0  0.1  59384  4480 ?        Ssl  13:49   0:00 /usr/sbin/prelude-manager

La première partie est terminée, vous avez maintenant un gestionnaire opérationnel.

Adresse d'écoute :

L’adresse d’écoute par défaut est localhost (127.0.0.1). Cela signifie que vous devez changer cela pour ajouter des capteurs sur différents hôtes afin que les agents puissent atteindre le gestionnaire Prelude.

Modifiez /etc/prelude-manager/prelude-manager.conf :

liste = xxx.xxx.xxx.xxx

Redémarrez le serveur et vérifiez l’adresse (si vous avez changé l’adresse) :

# /etc/init.d/prelude-manager stop
   Arrêt du Gestionnaire Prelude : prelude-manager.
# /etc/init.d/prelude-manager start
Démarrage du Gestionnaire Prelude : prelude-manager.
# netstat -pantu | grep prelude
tcp        0      0 192.168.66.1:4690          0.0.0.0:*      LISTEN     30544/prelude-manager

Prelude-LML

Vous devez installer prelude-lml sur chaque hôte que vous souhaitez surveiller. Prelude-LML analysera vos journaux et rapportera des événements aux gestionnaires.

# apt-get install prelude-lml


Démarrage de Prelude LML : prelude-lml.

Avant qu’il puisse être utilisé, deux choses doivent être faites :

  • L’adresse du gestionnaire doit être configurée sur le lml
  • Le gestionnaire ne fera pas confiance aux capteurs, jusqu’à ce qu’ils soient enregistrés

Adresse du gestionnaire

Si vous avez changé l’adresse sur laquelle le gestionnaire écoute, vous devez changer l’adresse dans la configuration du client sur chaque machine où vous installez prelude-lml.

L’adresse du gestionnaire est stockée dans le fichier /etc/prelude/default/client.conf :

[prelude]  
server-addr = 127.0.0.1

Enregistrement du capteur

L’enregistrement du capteur est un processus en quatre étapes, qui nécessite d’exécuter des commandes à la fois sur le capteur et sur le gestionnaire :

Sur le client LML, exécutez la commande d’enregistrement :

prelude-adduser register prelude-lml "idmef:w"  --uid 0 --gid 0

Conseil : si vous ne vous souvenez pas de la commande, exécutez simplement prelude-lml. Comme il n’est pas enregistré, cela échouera, mais il est assez intelligent pour afficher l’aide :

# prelude-lml   
- Abonnement au plugin pcre[default]  
- plugin pcre chargé 394 règles.  
- Surveillance de /var/log/messages via pcre[default]  
* AVERTISSEMENT : /var/log/everything/current n'existe pas.  
prelude-client : erreur lors du démarrage de prelude-client : impossible d'ouvrir '/etc/prelude/profile/prelude-lml/analyzerid' pour lecture  
  
Le profil 'prelude-lml' n'existe pas. Pour le créer, veuillez exécuter :  
prelude-adduser register prelude-lml "idmef:w"  --uid 0 --gid 0.

LML doit être enregistré avec uid et gid 0, car le processus sera exécuté en tant que root (pour pouvoir analyser les journaux).

LML demandera ensuite le mot de passe à usage unique (OTP), qui sera fourni par le gestionnaire :

Entrez le mot de passe à usage unique fourni par le programme "prelude-adduser" :  
- entrez le mot de passe à usage unique d'enregistrement :

Sur le gestionnaire, exécutez ce qui suit :

prelude-adduser registration-server prelude-manager

  • Démarrage du serveur d’enregistrement.
  • le mot de passe à usage unique généré est “dummypass”.

Entrez le mot de passe à l’invite LML :

  • entrez le mot de passe à usage unique d’enregistrement :
  • confirmez le mot de passe à usage unique d’enregistrement :
  • connexion au serveur d’enregistrement (127.0.0.1:5553)…
  • Authentification anonyme au serveur d’enregistrement réussie.
  • Envoi de la demande de certificat.

Le LML attend maintenant que le gestionnaire signe le certificat.

Sur le gestionnaire, validez la demande de signature de certificat :

  • Vérification réussie du mot de passe à usage unique d’authentification anonyme.
  • En attente de la demande de certificat du client.
  • Analyseur avec ID=”3559090256170900” demande un enregistrement avec permission=”idmef:w”.
    Approuver l’enregistrement [y/n] : y
    Le certificat est généré et envoyé au client :
  • Enregistrement de l’analyseur “3559090256170900” avec permission “idmef:w”.
  • Génération du certificat signé pour le client.
  • Envoi du certificat serveur au client.
  • ::ffff:127.0.0.1:47054 enregistré avec succès.

Sur le client, vous verrez :

L’enregistrement LML est réussi

  • Réception du certificat signé.
  • Réception du certificat CA.
  • Enregistrement de prelude-lml à 127.0.0.1 réussi.

Maintenant, le gestionnaire et le capteur ont une relation de confiance et peuvent s’envoyer des messages.

Ce processus prend un certain temps, mais il augmente la sécurité et la communication entre le capteur et le gestionnaire est cryptée.

Enfin, le capteur LML devrait également être opérationnel :

/etc/init.d/prelude-lml start

Démarrage de Prelude LML : prelude-lml.
ps auxw | grep lml
root 1946 0.3 0.0 20856 3424 ? Ss 14:35 0:00 /usr/bin/prelude-lml -d -q -P /var/run/prelude-lml.pid

Cela conclut la première partie.

Share: X/Twitter LinkedIn
#Sécurité informatique

Recevez de nouveaux articles dans votre boîte de réception.

Aucun spam. Désabonnez-vous à tout moment.