Rilevamento delle intrusioni: Snort (IDS), OSSEC (HbIDS) e Prelude (HIDS) su Ubuntu Gutsy Gibbon - Pagina 3

Parte 3 : Installazione e configurazione di Ossec

Prima di tutto scaricheremo e decomprimeremo il sorgente di ossec:

cd /src  
wget http://www.ossec.net/files/ossec-hids-1.4.tar.gz  
tar xvzf ossec-hids-1.4.tar.gz

Ora fai quanto segue per aggiungere il supporto prelude:

cd ossec-hids-xx  
cd src  
make setprelude

Poi modifica Config.OS e aggiungi -lgcc_s in tutte le righe prima di -lpthread come segue:

CPRELUDE=-DPRELUDE -lprelude -pthread -lgcc_s -L/usr/lib -lprelude -lgnutls -lgcrypt -lrt -ldl

La maggior parte di questo HOWTO è presa direttamente dal Manuale di Installazione per OSSEC-HID, che è un manuale molto facile da seguire. Se hai problemi, ti preghiamo di consultare prima il manuale, poiché avrà sempre le informazioni più aggiornate.

Ora la parte facile. Ossec viene fornito con uno script di installazione install.sh che fa tutto il lavoro duro per noi.

cd ..   
./install.sh

Scegli la lingua in cui vuoi leggere tutto e premi invio.

Per l’installazione in portoghese, scegli [br]. Per un’installazione tedesca scegli [de].
Per l’installazione in inglese, scegli [en]. Per l’installazione in italiano, scegli [it].
Aby instalowa? w j?zyku Polskim, wybierz [pl]. Türkçe kurulum için seçin [tr].
(en/br/de/it/pl/tr) [en]: en

Successivamente ci avviserà che abbiamo bisogno di un compilatore C sulla macchina e ti darà alcune informazioni generali sul tuo computer (versione del kernel, utente e host).

Procedi e premi invio come dice.

Stai per avviare il processo di installazione dell’OSSEC HIDS.
Devi avere un compilatore C preinstallato nel tuo sistema.
Se hai domande o commenti, ti preghiamo di inviare un’e-mail a [email protected] (o [email protected]).

• Sistema: Linux alcune informazioni
• Utente: root
• Host: il tuo nome host
  – Premi INVIO per continuare o Ctrl-C per annullare. –

Successivamente seleziona un’installazione locale:

1- Che tipo di installazione vuoi (server, agente, locale o aiuto)? locale  

Ora scegli dove vuoi installarlo. Usa il predefinito o cambialo se vuoi. Questo howto presupporrà comunque la posizione predefinita.

Scegli dove installare l'OSSEC HIDS [/var/ossec]:   

Ora seleziona le tue opzioni di notifica. Puoi scegliere risposte utilizzate in questo howto o diverse. Ti consiglio di impostare “Y” su tutto. Le risposte attive sono davvero utili. Imposterà alcune variabili di configurazione predefinite in base alle tue risposte e a determinate cose che trova nel tuo sistema.

3- Configurazione dell'OSSEC HIDS.  
  
  3.1- Vuoi la notifica via e-mail? (y/n) [y]: y  
   - Qual è il tuo indirizzo e-mail? [email protected]  
   - Qual è l'ip/host del tuo server SMTP? l'indirizzo del tuo server smtp (localhost)  
  
  3.2- Vuoi eseguire il demone di controllo dell'integrità? (y/n) [y]: y  
   
   - Esecuzione di syscheck (demone di controllo dell'integrità).  
  
  3.3- Vuoi eseguire il motore di rilevamento rootkit? (y/n) [y]: y  
   
   - Esecuzione di rootcheck (rilevamento rootkit).  
  
  3.4- La risposta attiva ti consente di eseguire un comando specifico in base agli eventi ricevuti. Ad esempio, puoi bloccare un indirizzo IP o disabilitare l'accesso per un utente specifico.  
       Maggiori informazioni su:  
       http://www.ossec.net/en/manual.html#active-response  
  
   - Vuoi abilitare la risposta attiva? (y/n) [y]: y  
   
     - Risposta attiva abilitata.  
  
   - Per impostazione predefinita, possiamo abilitare le risposte host-deny e firewall-drop. La prima aggiungerà un host a /etc/hosts.deny e la seconda bloccherà l'host su iptables (se linux) o su ipfilter (se Solaris, FreeBSD o NetBSD).  
   - Possono essere utilizzati per fermare le scansioni brute force SSHD, le scansioni delle porte e alcune altre forme di attacchi. Puoi anche aggiungerli per bloccare eventi snort, ad esempio.  
  
   - Vuoi abilitare la risposta firewall-drop? (y/n) [y]: y  
   
     - firewall-drop abilitato (locale) per livelli >= 6  
  
   - Lista bianca predefinita per la risposta attiva:  
      - 192.168.2.1  
  
   - Vuoi aggiungere più IP alla lista bianca? (y/n)? [n]: n  
  
  3.6- Impostazione della configurazione per analizzare i seguenti log:  
    -- /var/log/messages  
    -- /var/log/auth.log  
    -- /var/log/syslog  
    -- /var/log/mail.info  
    -- /var/log/apache2/error.log (log apache)  
    -- /var/log/apache2/access.log (log apache)  
  
 - Se vuoi monitorare qualsiasi altro file, basta modificare ossec.conf e aggiungere una nuova voce localfile.  
   Qualsiasi domanda sulla configurazione può essere risposta visitandoci online su http://www.ossec.net .  
  
   --- Premi INVIO per continuare ---

Ora compilerà tutto. Questo non dovrebbe richiedere troppo tempo per completare. Ci sono voluti circa 1-2 minuti per il mio sistema. Dopo che è completato, premi invio per finire.

• Sistema sconosciuto. Nessuno script di init aggiunto.
• Configurazione completata correttamente.
• Per avviare OSSEC HIDS:/var/ossec/bin/ossec-control start
• Per fermare OSSEC HIDS:/var/ossec/bin/ossec-control stop
• La configurazione può essere visualizzata o modificata in /var/ossec/etc/ossec.conf
  Grazie per aver utilizzato l’OSSEC HIDS. Se hai domande, suggerimenti o se trovi bug, contattaci a [email protected] o utilizzando la nostra mailing list pubblica [email protected] (http://mailman.underlinux.com.br/mailman/listinfo/ossec-list). Maggiori informazioni possono essere trovate su http://www.ossec.net
  — Premi INVIO per finire (potrebbero esserci ulteriori informazioni qui sotto). —

Ora, sfortunatamente, non rileva Ubuntu, quindi non creerà uno script di init. Questo è abbastanza semplice da risolvere. (Sì, è basilare. Se vuoi migliorarlo, sentiti libero di farlo) Copia e incolla quanto segue in /etc/init.d/ossec:

#!/bin/sh
 
case "$1" in
start)
  /var/ossec/bin/ossec-control start
;;
stop)
  /var/ossec/bin/ossec-control stop
;;
restart)
  $0 stop && sleep 3
  $0 start
;;
reload)
  $0 stop
  $0 start
;;
*)
echo "Usage: $0 {start|stop|restart|reload}"
exit 1
esac

Ora rendilo eseguibile:

chmod +x /etc/init.d/ossec 

Aggiungilo ai nostri runlevel in modo che si avvii all’avvio:

update-rc.d ossec defaults

ossec.conf

/var/ossec/etc/ossec.conf

ossec

prelude:

 ...
yes

Infine aggiungeremo ossec come agente in prelude:

prelude-adduser registration-server prelude-manager

Sul server di gestione fai:

prelude-adduser register OSSEC "idmef:w" localhost --uid ossec --gid ossec

Nota: Il nome del sensore DEVE essere in maiuscolo > OSSEC.

Avvia l’ossec con lo script init.d alimentato da OSSEC (la versione 1.4 dovrebbe ora rilevare il sistema operativo ubuntu/debian e lo script di init funzionerà!) o lo script RShadow.

Se vedi questo, sei in funzione.

Avvio di OSSEC HIDS v1.4 (di Daniel B. Cid)…
Connessione a 127.0.0.1:4690 server di gestione prelude.
L’autenticazione TLS ha avuto successo con il Manager di Prelude.

Ora vai all’url dove hai installato prewikka, e accedi con l’utente admin e la password admin. Cambia immediatamente questa password per prevenire accessi non autorizzati.