Détection d'intrusion : Snort (IDS), OSSEC (HbIDS) et Prelude (HIDS) sur Ubuntu Gutsy Gibbon - Page 3

Partie 3 : Installation et configuration d’Ossec

Tout d’abord, nous allons télécharger et décompresser le code source d’ossec :

cd /src  
wget http://www.ossec.net/files/ossec-hids-1.4.tar.gz  
tar xvzf ossec-hids-1.4.tar.gz

Maintenant, faites ce qui suit pour ajouter le support de prelude :

cd ossec-hids-xx  
cd src  
make setprelude

Ensuite, éditez Config.OS et ajoutez -lgcc_s dans toutes les lignes précédant -lpthread comme ceci :

CPRELUDE=-DPRELUDE -lprelude -pthread -lgcc_s -L/usr/lib -lprelude -lgnutls -lgcrypt -lrt -ldl

La majorité de ce HOWTO est tirée directement du Manuel d’installation pour OSSEC-HID qui est un manuel très facile à suivre. Si vous rencontrez des problèmes, veuillez consulter le manuel d’abord car il contiendra toujours les informations les plus à jour.

Maintenant, la partie facile. Ossec est livré avec un script d’installation install.sh qui fait tout le travail difficile pour nous.

cd ..   
./install.sh

Choisissez la langue dans laquelle vous souhaitez tout lire et appuyez sur entrer.

Pour l’installation en portugais, choisissez [br]. Für eine deutsche Installation wählen Sie [de].
Pour l’installation en anglais, choisissez [en]. Per l’installazione in Italiano, scegli [it].
Aby instalować w języku Polskim, wybierz [pl]. Türkçe kurulum için seçin [tr].
(en/br/de/it/pl/tr) [en]: en

Ensuite, il va nous avertir que nous avons besoin d’un compilateur C sur la machine, et vous donner quelques informations générales sur votre ordinateur (version du noyau, utilisateur et hôte).

Allez-y et appuyez sur entrer comme il le dit.

Vous êtes sur le point de commencer le processus d’installation de l’OSSEC HIDS.
Vous devez avoir un compilateur C préinstallé dans votre système.
Si vous avez des questions ou des commentaires, veuillez envoyer un e-mail à [email protected] (ou [email protected]).

• Système : Linux quelques informations
• Utilisateur : root
• Hôte : votre nom d’hôte
  – Appuyez sur ENTER pour continuer ou Ctrl-C pour annuler. –

Ensuite, sélectionnez une installation locale :

1- Quel type d'installation voulez-vous (serveur, agent, local ou aide) ? local  

Maintenant, choisissez où vous souhaitez l’installer. Utilisez l’emplacement par défaut ou changez-le si vous le souhaitez. Ce howto supposera cependant l’emplacement par défaut.

Choisissez où installer l'OSSEC HIDS [/var/ossec]:   

Maintenant, sélectionnez vos options de notification. Vous pouvez choisir les réponses utilisées dans ce howto ou d’autres. Je recommanderais de mettre “Y” à tout. Les réponses actives sont vraiment agréables. Cela définira certaines variables de configuration par défaut en fonction de vos réponses et de certaines choses qu’il trouve sur votre système.

3- Configuration de l'OSSEC HIDS.  
  
  3.1- Voulez-vous une notification par e-mail ? (y/n) [y]: y  
   - Quelle est votre adresse e-mail ? [email protected]  
   - Quelle est l'adresse ip/hôte de votre serveur SMTP ? votre adresse de serveur smtp (localhost)  
  
  3.2- Voulez-vous exécuter le démon de vérification d'intégrité ? (y/n) [y]: y  
  
   - Exécution de syscheck (démon de vérification d'intégrité).  
  
  3.3- Voulez-vous exécuter le moteur de détection de rootkits ? (y/n) [y]: y  
  
   - Exécution de rootcheck (détection de rootkits).  
  
  3.4- La réponse active vous permet d'exécuter une commande spécifique en fonction des événements reçus. Par exemple, vous pouvez bloquer une adresse IP ou désactiver l'accès pour un utilisateur spécifique.  
       Plus d'informations à :  
       http://www.ossec.net/en/manual.html#active-response  
  
   - Voulez-vous activer la réponse active ? (y/n) [y]: y  
  
     - Réponse active activée.  
  
   - Par défaut, nous pouvons activer les réponses host-deny et firewall-drop. La première ajoutera un hôte à /etc/hosts.deny et la seconde bloquera l'hôte sur iptables (si linux) ou sur ipfilter (si Solaris, FreeBSD ou NetBSD).  
   - Elles peuvent être utilisées pour arrêter les scans de force brute SSHD, les scans de ports et d'autres formes d'attaques. Vous pouvez également les ajouter pour bloquer sur des événements snort, par exemple.  
  
   - Voulez-vous activer la réponse firewall-drop ? (y/n) [y]: y  
  
     - firewall-drop activé (local) pour les niveaux >= 6  
  
   - Liste blanche par défaut pour la réponse active :  
      - 192.168.2.1  
  
   - Voulez-vous ajouter plus d'IPs à la liste blanche ? (y/n)? [n]: n  
  
  3.6- Configuration pour analyser les journaux suivants :  
    -- /var/log/messages  
    -- /var/log/auth.log  
    -- /var/log/syslog  
    -- /var/log/mail.info  
    -- /var/log/apache2/error.log (journal apache)  
    -- /var/log/apache2/access.log (journal apache)  
  
 - Si vous souhaitez surveiller un autre fichier, il suffit de modifier le ossec.conf et d'ajouter une nouvelle entrée localfile.  
   Toute question concernant la configuration peut être répondue en nous visitant en ligne à http://www.ossec.net .  
  
   --- Appuyez sur ENTER pour continuer ---

Maintenant, il va tout compiler. Cela ne devrait pas prendre trop de temps à compléter. Cela a pris environ 1 à 2 minutes pour ma machine. Une fois terminé, appuyez sur entrer pour finir.

• Système inconnu. Aucun script d’initialisation ajouté.
• Configuration terminée correctement.
• Pour démarrer OSSEC HIDS :/var/ossec/bin/ossec-control start
• Pour arrêter OSSEC HIDS :/var/ossec/bin/ossec-control stop
• La configuration peut être consultée ou modifiée à /var/ossec/etc/ossec.conf
  Merci d’utiliser l’OSSEC HIDS. Si vous avez des questions, des suggestions ou si vous trouvez un bug, contactez-nous à [email protected] ou en utilisant notre mailing public à [email protected] (http://mailman.underlinux.com.br/mailman/listinfo/ossec-list). Plus d’informations peuvent être trouvées à http://www.ossec.net
  — Appuyez sur ENTER pour finir (peut-être plus d’informations ci-dessous). —

Maintenant, malheureusement, il ne détecte pas Ubuntu, donc il ne créera pas de script d’initialisation. C’est assez simple à gérer. (Oui, c’est basique. Si vous souhaitez l’améliorer, n’hésitez pas à le faire) Copiez et collez ce qui suit dans /etc/init.d/ossec :

#!/bin/sh
 
case "$1" in
start)
  /var/ossec/bin/ossec-control start
;;
stop)
  /var/ossec/bin/ossec-control stop
;;
restart)
  $0 stop && sleep 3
  $0 start
;;
reload)
  $0 stop
  $0 start
;;
*)
echo "Usage: $0 {start|stop|restart|reload}"
exit 1
esac

Maintenant, rendez-le exécutable :

chmod +x /etc/init.d/ossec 

Ajoutez-le à nos niveaux d’exécution afin qu’il démarre au démarrage :

update-rc.d ossec defaults

ossec.conf

/var/ossec/etc/ossec.conf

ossec

prelude :

 ...
yes

Enfin, nous ajouterons ossec en tant qu’agent dans prelude :

prelude-adduser registration-server prelude-manager

Sur le serveur de gestion, faites :

prelude-adduser register OSSEC "idmef:w" localhost --uid ossec --gid ossec

Remarque : Le nom du capteur DOIT être en majuscules > OSSEC.

Démarrez l’ossec avec le script init.d alimenté par OSSEC (la version 1.4 devrait maintenant détecter le système d’exploitation ubuntu/debian et le script d’initialisation fonctionnera !) ou le script RShadow.

Si vous voyez cela, vous êtes opérationnel.

Démarrage d’OSSEC HIDS v1.4 (par Daniel B. Cid)…
Connexion à 127.0.0.1:4690 serveur de gestion de Prelude.
L’authentification TLS a réussi avec le gestionnaire de Prelude.

Maintenant, allez à l’URL où vous avez installé prewikka, et connectez-vous avec l’utilisateur admin et le mot de passe admin. Changez immédiatement ce mot de passe afin d’éviter tout accès non autorisé.