Sécurité Serveur · 5 min read · Oct 20, 2025

Sécuriser Votre Serveur Avec Un Système de Détection d'Intrusion Basé sur l'Hôte

Sécuriser Votre Serveur Avec Un Système de Détection d’Intrusion Basé sur l’Hôte

Version 1.0
Auteur : Falko Timme

Cet article montre comment installer et exécuter OSSEC HIDS, un Système de Détection d’Intrusion Basé sur l’Hôte Open Source. Il effectue l’analyse des journaux, la vérification de l’intégrité, la détection de rootkits, l’alerte basée sur le temps et la réponse active. Il vous aide à détecter les attaques, l’utilisation abusive des logiciels, les violations de politiques et d’autres formes d’activités inappropriées.

Avec OSSEC HIDS, vous pouvez surveiller plusieurs systèmes, un système étant le serveur OSSEC HIDS et les autres les agents OSSEC HIDS qui rapportent au serveur. Cependant, dans ce tutoriel, je souhaite surveiller un seul système, donc je réalise une installation “locale” afin qu’OSSEC HIDS fasse son travail localement sur ce système.

Dans ce qui suit, j’utilise un système Debian Sarge (3.1) pour installer OSSEC HIDS.

Je tiens à dire d’abord que ce n’est pas la seule façon de configurer un tel système. Il existe de nombreuses façons d’atteindre cet objectif, mais c’est la méthode que je choisis. Je ne donne aucune garantie que cela fonctionnera pour vous !

1 Installation d’OSSEC HIDS

L’installation d’OSSEC HIDS est très facile, il suffit de télécharger les sources, d’exécuter le script d’installation et de répondre aux questions du script d’installation. Tout d’abord, nous téléchargeons et décompressons les sources d’OSSEC HIDS :

cd /tmp  
wget http://www.ossec.net/files/ossec-hids-0.9-1a.tar.gz  
tar xvfz ossec-hids-0.9-1a.tar.gz

Ensuite, nous exécutons le script d’installation :

cd ossec-hids-0.9-1a  
./install.sh

Le script d’installation vous posera quelques questions :

 Para instalação em português, escolha [br].  
 Fur eine deutsche Installation wohlen Sie [de].  
 For installation in English, choose [en].  
 Para instalar en Español , eliga [es].  
 Pour une installation en français, choisissez [fr]  
 Per l'installazione in Italiano, scegli [it].  
 æ¥æ¬èªã§ã¤ã³ã¹ãã¼ã«ãã¾ãï¼é¸æãã¦ä¸ãã  
ï¼[jp].  
 Aby instalowaÄ w jÄzyku Polskim, wybierz [pl].  
 ÐÐ»Ñ Ð¸Ð½ÑÑÑÑкÑий по ÑÑÑановке на ÑÑÑÑком ,введиÑе [ru].  
 Türkçe kurulum için seçin [tr].  
(en/br/de/es/fr/it/jp/pl/ru/tr) [en]: <-- en (ou l'une des autres options, si vous ne souhaitez pas utiliser l'anglais)

Script d’installation OSSEC HIDS v0.9-1 - http://www.ossec.net

Vous êtes sur le point de commencer le processus d'installation de l'OSSEC HIDS.  
Vous devez avoir un compilateur C préinstallé sur votre système.  
Si vous avez des questions ou des commentaires, veuillez envoyer un e-mail  
à [email protected] (ou [email protected]).
- Système : Linux server1.example.com 2.6.8-2-386  
- Utilisateur : root  
- Hôte : server1.example.com

– Appuyez sur ENTRÉE pour continuer ou Ctrl-C pour annuler. – <– [ENTRÉE]

1- Quel type d’installation souhaitez-vous (serveur, agent, local ou aide) ? <– local

  • Choisissez où installer l’OSSEC HIDS [/var/ossec] : <– /var/ossec

3.1- Souhaitez-vous une notification par e-mail ? (o/n) [o] : <– o

  • Quelle est votre adresse e-mail ? <– [email protected] (veuillez entrer votre propre adresse e-mail ici)

  • Nous avons trouvé votre serveur SMTP comme : mail.example.com.

  • Voulez-vous l’utiliser ? (o/n) [o] : <– o (normalement, vous pouvez accepter la proposition de l’installateur, sauf si vous souhaitez utiliser un autre serveur SMTP)

3.2- Souhaitez-vous exécuter le démon de vérification de l’intégrité ? (o/n) [o] : <– o

3.3- Souhaitez-vous exécuter le moteur de détection de rootkits ? (o/n) [o] : <– o

  • Souhaitez-vous activer la réponse active ? (o/n) [o] : <– o

  • Souhaitez-vous activer la réponse de pare-feu ? (o/n) [o] : <– o

  • Souhaitez-vous ajouter d’autres IP à la liste blanche ? (o/n) ? [n] : <– n (sauf si vous souhaitez ajouter d’autres adresses IP à la liste blanche)

3.6- Configuration pour analyser les journaux suivants :
– /var/log/messages
– /var/log/auth.log
– /var/log/syslog
– /var/log/mail.info

- Si vous souhaitez surveiller un autre fichier, il suffit de modifier  
l'ossec.conf et d'ajouter une nouvelle entrée localfile.  
Toute question concernant la configuration peut être répondue  
en nous visitant en ligne à http://www.ossec.net .

— Appuyez sur ENTRÉE pour continuer — <– [ENTRÉE]

  • Le système est Linux (SysV).
  • Script d’initialisation modifié pour démarrer OSSEC HIDS au démarrage.
    Ajout de démarrage système pour /etc/init.d/ossec …
    /etc/rc0.d/K20ossec -> ../init.d/ossec
    /etc/rc1.d/K20ossec -> ../init.d/ossec
    /etc/rc6.d/K20ossec -> ../init.d/ossec
    /etc/rc2.d/S20ossec -> ../init.d/ossec
    /etc/rc3.d/S20ossec -> ../init.d/ossec
    /etc/rc4.d/S20ossec -> ../init.d/ossec
    /etc/rc5.d/S20ossec -> ../init.d/ossec
- Configuration terminée correctement.
- Pour démarrer OSSEC HIDS :  
/var/ossec/bin/ossec-control start
- Pour arrêter OSSEC HIDS :  
/var/ossec/bin/ossec-control stop
- La configuration peut être consultée ou modifiée à /var/ossec/etc/ossec.conf
Merci d'utiliser l'OSSEC HIDS.  
Si vous avez des questions, des suggestions ou si vous trouvez un bug,  
contactez-nous à [email protected] ou en utilisant notre liste de diffusion publique à  
[email protected]  
(http://mailman.underlinux.com.br/mailman/listinfo/ossec-list).
Plus d'informations peuvent être trouvées à http://www.ossec.net

— Appuyez sur ENTRÉE pour terminer (peut-être plus d’informations ci-dessous). — <– [ENTRÉE]

C’est tout, OSSEC HIDS est maintenant installé et prêt à être démarré.

2 Démarrer et exécuter OSSEC HIDS

Pour démarrer OSSEC HIDS, nous exécutons cette commande :

/etc/init.d/ossec start

La sortie devrait ressembler à ceci :

server1:/etc/init.d# /etc/init.d/ossec start  
Démarrage d'OSSEC HIDS v0.9-1 (par Daniel B. Cid)...  
Démarré ossec-maild...  
Démarré ossec-execd...  
Démarré ossec-analysisd...  
Démarré ossec-logcollector...  
Démarré ossec-syscheckd...  
Terminé.  
server1:/etc/init.d#

Comme vous l’avez peut-être vu lors de l’installation d’OSSEC HIDS, l’installateur a également créé les liens de démarrage système nécessaires pour OSSEC HIDS, de sorte qu’OSSEC HIDS sera démarré automatiquement chaque fois que vous démarrez/redémarrez votre système.

Après qu’OSSEC HIDS a été démarré, il fonctionnera silencieusement en arrière-plan, effectuant l’analyse des journaux, la vérification de l’intégrité, la détection de rootkits, etc. Vous pouvez vérifier qu’il fonctionne en exécutant

ps aux

Dans la sortie, vous devriez trouver quelque chose comme ceci :

ossecm    2038  0.0  0.4  1860  792 ?        S    12:40   0:00 /var/ossec/bin/ossec-maild root      2042  0.0  0.3  1736  648 ?        S    12:40   0:00 /var/ossec/bin/ossec-execd ossec     2046  0.2  0.5  2192 1136 ?        S    12:40   0:00 /var/ossec/bin/ossec-analysisd root      2050  0.0  0.2  1592  556 ?        S    12:40   0:00 /var/ossec/bin/ossec-logcollector root      2054 12.2  0.3  1756  616 ?        S    12:40   0:05 /var/ossec/bin/ossec-syscheckd

Le fichier journal d’OSSEC HIDS est /var/ossec/logs/ossec.log, vous pouvez donc le vérifier pour voir ce qui se passe, par exemple avec la commande tail.

tail -f /var/ossec/logs/ossec.log

montre ce qui se passe en temps réel. Appuyez sur CTRL-C pour quitter.

tail -n 100 /var/ossec/logs/ossec.log

vous montre les 100 dernières lignes du journal d’OSSEC HIDS.

Chaque fois qu’OSSEC HIDS détecte quelque chose de suspect, il envoie un e-mail avec un rapport sur l’activité à l’adresse e-mail que vous avez spécifiée lors de l’installation :

Si vous souhaitez modifier les paramètres d’OSSEC HIDS (par exemple, changer l’adresse e-mail, ajouter des ensembles de règles personnalisés, etc.), vous pouvez le faire en modifiant le fichier de configuration /var/ossec/etc/ossec.conf (qui est au format XML). Vous pouvez le faire en utilisant un éditeur de ligne de commande tel que vi :

vi /var/ossec/etc/ossec.conf

Le fichier ressemble à ceci :

| yes [email protected] mail.example.com. [email protected] [...] |

Si vous modifiez le fichier, assurez-vous de redémarrer OSSEC HIDS par la suite :

/etc/init.d/ossec restart

Pour apprendre comment ajouter des ensembles de règles personnalisés, etc. à la configuration d’OSSEC HIDS, veuillez vous référer au manuel d’OSSEC HIDS : http://www.ossec.net/en/manual.html

3 Liens

Share: X/Twitter LinkedIn
#Sécurité Serveur

Recevez de nouveaux articles dans votre boîte de réception.

Aucun spam. Désabonnez-vous à tout moment.