Sicurezza Server · 5 min read · Oct 20, 2025

Proteggere il tuo server con un sistema di rilevamento delle intrusioni basato su host

Proteggere il tuo server con un sistema di rilevamento delle intrusioni basato su host

Versione 1.0
Autore: Falko Timme

Questo articolo mostra come installare e far funzionare OSSEC HIDS, un sistema di rilevamento delle intrusioni basato su host open source. Esegue analisi dei log, verifica dell’integrità, rilevamento di rootkit, avvisi basati sul tempo e risposta attiva. Ti aiuta a rilevare attacchi, uso improprio del software, violazioni delle politiche e altre forme di attività inappropriate.

Con OSSEC HIDS puoi monitorare più sistemi, con un sistema che funge da server OSSEC HIDS e gli altri come agenti OSSEC HIDS che riportano al server. Tuttavia, in questo tutorial voglio monitorare solo un sistema, quindi eseguo un’installazione “locale” in modo che OSSEC HIDS svolga il suo lavoro localmente su quel sistema.

Nel seguito utilizzo un sistema Debian Sarge (3.1) per installare OSSEC HIDS.

Voglio dire prima che questo non è l’unico modo per impostare un tale sistema. Ci sono molti modi per raggiungere questo obiettivo, ma questo è il modo che scelgo. Non fornisco alcuna garanzia che questo funzionerà per te!

1 Installazione di OSSEC HIDS

Installare OSSEC HIDS è molto facile, è solo una questione di scaricare le sorgenti, eseguire lo script di installazione e rispondere alle domande dello script di installazione. Prima, scarichiamo e decomprimiamo le sorgenti di OSSEC HIDS:

cd /tmp  
wget http://www.ossec.net/files/ossec-hids-0.9-1a.tar.gz  
tar xvfz ossec-hids-0.9-1a.tar.gz

Poi eseguiamo lo script di installazione:

cd ossec-hids-0.9-1a  
./install.sh

Lo script di installazione ti farà alcune domande:

 Para instalação em português, escolha [br].  
 Fur eine deutsche Installation wohlen Sie [de].  
 For installation in English, choose [en].  
 Para instalar en Español , eliga [es].  
 Pour une installation en français, choisissez [fr]  
 Per l'installazione in Italiano, scegli [it].  
 æ¥æ¬èªã§ã¤ã³ã¹ãã¼ã«ãã¾ãï¼é¸æãã¦ä¸ãã  
ï¼[jp].  
 Aby instalowaÄ w jÄzyku Polskim, wybierz [pl].  
 ÐÐ»Ñ Ð¸Ð½ÑÑÑÑкÑий по ÑÑÑановке на ÑÑÑÑком ,введиÑе [ru].  
 Türkçe kurulum için seçin [tr].  
(en/br/de/es/fr/it/jp/pl/ru/tr) [en]: <-- en (o una delle altre opzioni, se non vuoi usare l'inglese)

Script di installazione OSSEC HIDS v0.9-1 - http://www.ossec.net

Stai per avviare il processo di installazione di OSSEC HIDS.  
Devi avere un compilatore C preinstallato nel tuo sistema.  
Se hai domande o commenti, invia un'email  
a [email protected] (o [email protected]).
- Sistema: Linux server1.example.com 2.6.8-2-386  
- Utente: root  
- Host: server1.example.com

– Premi INVIO per continuare o Ctrl-C per annullare. – <– [INVIO]

1- Che tipo di installazione desideri (server, agente, locale o aiuto)? <– locale

  • Scegli dove installare OSSEC HIDS [/var/ossec]: <– /var/ossec

3.1- Vuoi la notifica via email? (s/n) [s]: <– s

  • Qual è il tuo indirizzo email? <– [email protected] (inserisci qui il tuo indirizzo email)

  • Abbiamo trovato il tuo server SMTP come: mail.example.com.

  • Vuoi usarlo? (s/n) [s]: <– s (normalmente puoi accettare la proposta dell’installatore, a meno che tu non voglia usare un altro server SMTP)

3.2- Vuoi eseguire il demone di controllo dell’integrità? (s/n) [s]: <– s

3.3- Vuoi eseguire il motore di rilevamento dei rootkit? (s/n) [s]: <– s

  • Vuoi abilitare la risposta attiva? (s/n) [s]: <– s

  • Vuoi abilitare la risposta di firewall-drop? (s/n) [s]: <– s

  • Vuoi aggiungere più IP alla lista bianca? (s/n)? [n]: <– n (a meno che tu non voglia aggiungere altri indirizzi IP alla lista bianca)

3.6- Impostazione della configurazione per analizzare i seguenti log:
– /var/log/messages
– /var/log/auth.log
– /var/log/syslog
– /var/log/mail.info

- Se vuoi monitorare qualsiasi altro file, basta cambiare  
l'ossec.conf e aggiungere una nuova voce localfile.  
Qualsiasi domanda sulla configurazione può essere risposta  
visitandoci online su http://www.ossec.net .

— Premi INVIO per continuare — <– [INVIO]

  • Il sistema è Linux (SysV).
  • Script di avvio modificato per avviare OSSEC HIDS durante l’avvio.
    Aggiunta di avvio di sistema per /etc/init.d/ossec …
    /etc/rc0.d/K20ossec -> ../init.d/ossec
    /etc/rc1.d/K20ossec -> ../init.d/ossec
    /etc/rc6.d/K20ossec -> ../init.d/ossec
    /etc/rc2.d/S20ossec -> ../init.d/ossec
    /etc/rc3.d/S20ossec -> ../init.d/ossec
    /etc/rc4.d/S20ossec -> ../init.d/ossec
    /etc/rc5.d/S20ossec -> ../init.d/ossec
- Configurazione completata correttamente.
- Per avviare OSSEC HIDS:  
/var/ossec/bin/ossec-control start
- Per fermare OSSEC HIDS:  
/var/ossec/bin/ossec-control stop
- La configurazione può essere visualizzata o modificata in /var/ossec/etc/ossec.conf
Grazie per aver utilizzato OSSEC HIDS.  
Se hai domande, suggerimenti o se trovi bug,  
contattaci a [email protected] o utilizzando la nostra mailing list pubblica a  
[email protected]  
(http://mailman.underlinux.com.br/mailman/listinfo/ossec-list).
Maggiori informazioni possono essere trovate su http://www.ossec.net

— Premi INVIO per finire (potrebbero esserci ulteriori informazioni sotto). — <– [INVIO]

Questo è tutto, OSSEC HIDS è ora installato e pronto per essere avviato.

2 Avvio e funzionamento di OSSEC HIDS

Per avviare OSSEC HIDS, eseguiamo questo comando:

/etc/init.d/ossec start

L’output dovrebbe apparire così:

server1:/etc/init.d# /etc/init.d/ossec start  
Avviando OSSEC HIDS v0.9-1 (di Daniel B. Cid)...  
Avviato ossec-maild...  
Avviato ossec-execd...  
Avviato ossec-analysisd...  
Avviato ossec-logcollector...  
Avviato ossec-syscheckd...  
Completato.  
server1:/etc/init.d#

Come potresti aver visto durante l’installazione di OSSEC HIDS, l’installatore ha anche creato i collegamenti di avvio di sistema necessari per OSSEC HIDS, in modo che OSSEC HIDS venga avviato automaticamente ogni volta che avvii/ripristini il tuo sistema.

Dopo che OSSEC HIDS è stato avviato, funzionerà silenziosamente in background, eseguendo analisi dei log, verifica dell’integrità, rilevamento di rootkit, ecc. Puoi controllare che sia in esecuzione eseguendo

ps aux

Nell’output dovresti trovare qualcosa del genere:

ossecm    2038  0.0  0.4  1860  792 ?        S    12:40   0:00 /var/ossec/bin/ossec-maild root      2042  0.0  0.3  1736  648 ?        S    12:40   0:00 /var/ossec/bin/ossec-execd ossec     2046  0.2  0.5  2192 1136 ?        S    12:40   0:00 /var/ossec/bin/ossec-analysisd root      2050  0.0  0.2  1592  556 ?        S    12:40   0:00 /var/ossec/bin/ossec-logcollector root      2054 12.2  0.3  1756  616 ?        S    12:40   0:05 /var/ossec/bin/ossec-syscheckd

Il file di log di OSSEC HIDS è /var/ossec/logs/ossec.log, quindi puoi controllarlo per vedere cosa sta succedendo, ad esempio con il comando tail.

tail -f /var/ossec/logs/ossec.log

mostra cosa sta succedendo in tempo reale. Premi CTRL-C per uscire.

tail -n 100 /var/ossec/logs/ossec.log

mostra le ultime 100 righe del log di OSSEC HIDS.

Ogni volta che OSSEC HIDS rileva qualcosa di sospetto, invia un’email con un rapporto sull’attività all’indirizzo email che hai specificato durante l’installazione:

Se desideri modificare le impostazioni di OSSEC HIDS (ad esempio cambiare l’indirizzo email, aggiungere set di regole personalizzati, ecc.), puoi farlo modificando il file di configurazione /var/ossec/etc/ossec.conf (che è in formato XML). Puoi farlo utilizzando un editor da riga di comando come vi:

vi /var/ossec/etc/ossec.conf

Il file appare così:

| yes [email protected] mail.example.com. [email protected] [...] |

Se modifichi il file, assicurati di riavviare OSSEC HIDS dopo:

/etc/init.d/ossec restart

Per imparare come aggiungere set di regole personalizzati, ecc. alla configurazione di OSSEC HIDS, ti preghiamo di fare riferimento al manuale di OSSEC HIDS: http://www.ossec.net/en/manual.html

3 Link

Share: X/Twitter LinkedIn
#Sicurezza Server

Ricevi i nuovi post nella tua casella di posta.

Nessuno spam. Disiscriviti in qualsiasi momento.