Detecção de Intrusão: Snort (IDS), OSSEC (HbIDS) e Prelude (HIDS) no Ubuntu Gutsy Gibbon - Página 3

Parte 3: Instalando e Configurando o Ossec

Primeiro de tudo, vamos baixar e descompactar o código fonte do ossec:

cd /src  
wget http://www.ossec.net/files/ossec-hids-1.4.tar.gz  
tar xvzf ossec-hids-1.4.tar.gz

Agora faça o seguinte para adicionar

suporte ao prelude:

cd ossec-hids-xx  
cd src  
make setprelude

Em seguida, edite

Config.OS e adicione

-lgcc_s em todas as linhas antes de

-lpthread como isto:

CPRELUDE=-DPRELUDE -lprelude -pthread -lgcc_s -L/usr/lib -lprelude -lgnutls -lgcrypt -lrt -ldl

A maioria deste HOWTO foi retirada diretamente do Manual de Instalação do OSSEC-HID, que é um manual muito fácil de seguir. Se você encontrar problemas, por favor, consulte o manual primeiro, pois ele sempre terá as informações mais atualizadas.

Agora a parte fácil. O Ossec vem com um script de instalação install.sh que faz todo o trabalho duro para nós.

cd ..   
./install.sh

Escolha em que idioma você quer ler tudo e pressione enter.

Para instalação em português, escolha [br]. Fur eine deutsche Installation wohlen Sie [de].
For installation in English, choose [en]. Per l’installazione in Italiano, scegli [it].
Aby instalowa? w j?zyku Polskim, wybierz [pl]. Türkçe kurulum için seçin [tr].
(en/br/de/it/pl/tr) [en]: en

Em seguida, ele vai nos avisar que precisamos de um compilador C na máquina e fornecer algumas informações gerais sobre o seu computador (versão do kernel, usuário e host).

Vá em frente e pressione enter como diz.

Você está prestes a iniciar o processo de instalação do OSSEC HIDS.
Você deve ter um compilador C pré-instalado em seu sistema.
Se você tiver alguma dúvida ou comentário, envie um e-mail para [email protected] (ou [email protected]).

• Sistema: Linux algumas informações
• Usuário: root
• Host: seu nome de host
  – Pressione ENTER para continuar ou Ctrl-C para abortar. –

Em seguida, selecione uma instalação local:

1- Que tipo de instalação você deseja (servidor, agente, local ou ajuda)? local  

Agora escolha onde você deseja instalá-lo. Use o padrão ou mude se quiser. Este howto, no entanto, assumirá o local padrão.

Escolha onde instalar o OSSEC HIDS [/var/ossec]:   

Agora selecione suas opções de notificação. Você pode escolher respostas usadas neste howto ou diferentes. Eu recomendaria definir “Y” para tudo. Respostas ativas são realmente boas. Ele definirá algumas variáveis de configuração padrão com base em suas respostas e certas coisas que encontra em seu sistema.

3- Configurando o OSSEC HIDS.  
  
  3.1- Você deseja notificação por e-mail? (s/n) [s]: s  
   - Qual é o seu endereço de e-mail? [email protected]  
   - Qual é o ip/host do seu servidor SMTP? seu endereço de servidor smtp (localhost)  
  
  3.2- Você deseja executar o daemon de verificação de integridade? (s/n) [s]: s  
  
   - Executando syscheck (daemon de verificação de integridade).  
  
  3.3- Você deseja executar o mecanismo de detecção de rootkits? (s/n) [s]: s  
  
   - Executando rootcheck (detecção de rootkit).  
  
  3.4- A resposta ativa permite que você execute um comando específico  
       com base nos eventos recebidos. Por exemplo,  
       você pode bloquear um endereço IP ou desabilitar o acesso para  
       um usuário específico.  
       Mais informações em:  
       http://www.ossec.net/en/manual.html#active-response  
  
   - Você deseja habilitar a resposta ativa? (s/n) [s]: s  
  
     - Resposta ativa habilitada.  
  
   - Por padrão, podemos habilitar as respostas host-deny e firewall-drop.  
     A primeira adicionará  
     um host ao /etc/hosts.deny e a segunda  
     bloqueará o host no iptables (se linux) ou no  
     ipfilter (se Solaris, FreeBSD ou NetBSD).  
   - Elas podem ser usadas para parar varreduras de força bruta do SSHD,  
     varreduras de portas e algumas outras formas de ataques. Você pode  
     também adicioná-las para bloquear em eventos do snort, por exemplo.  
  
   - Você deseja habilitar a resposta firewall-drop? (s/n) [s]: s  
  
     - firewall-drop habilitado (local) para níveis >= 6  
  
   - Lista branca padrão para a resposta ativa:  
      - 192.168.2.1  
  
   - Você deseja adicionar mais IPs à lista branca? (s/n)? [n]: n  
  
  3.6- Definindo a configuração para analisar os seguintes logs:  
    -- /var/log/messages  
    -- /var/log/auth.log  
    -- /var/log/syslog  
    -- /var/log/mail.info  
    -- /var/log/apache2/error.log (log do apache)  
    -- /var/log/apache2/access.log (log do apache)  
  
 - Se você quiser monitorar qualquer outro arquivo, basta alterar  
   o ossec.conf e adicionar uma nova entrada localfile.  
   Quaisquer perguntas sobre a configuração podem ser respondidas  
   visitando-nos online em http://www.ossec.net .  
  
   --- Pressione ENTER para continuar ---

Agora ele irá compilar tudo. Isso não deve levar muito tempo para completar. Levou apenas cerca de 1-2 minutos para minha máquina. Após a conclusão, pressione enter para finalizar.

• Sistema desconhecido. Nenhum script de init adicionado.
• Configuração finalizada corretamente.
• Para iniciar o OSSEC HIDS:/var/ossec/bin/ossec-control start
• Para parar o OSSEC HIDS:/var/ossec/bin/ossec-control stop
• A configuração pode ser visualizada ou modificada em /var/ossec/etc/ossec.conf
  Obrigado por usar o OSSEC HIDS. Se você tiver alguma dúvida, sugestão ou se encontrar algum bug, entre em contato conosco em [email protected] ou usando nosso e-mail público em [email protected] (http://mailman.underlinux.com.br/mailman/listinfo/ossec-list). Mais informações podem ser encontradas em http://www.ossec.net
  — Pressione ENTER para finalizar (talvez mais informações abaixo). —

Agora, infelizmente, ele não detecta o Ubuntu, então não criará um script de init. Isso é simples o suficiente para resolver. (Sim, é básico. Se você quiser melhorá-lo, fique à vontade para fazê-lo) Copie e cole o seguinte em /etc/init.d/ossec:

#!/bin/sh
 
case "$1" in
start)
  /var/ossec/bin/ossec-control start
;;
stop)
  /var/ossec/bin/ossec-control stop
;;
restart)
  $0 stop && sleep 3
  $0 start
;;
reload)
  $0 stop
  $0 start
;;
*)
echo "Uso: $0 {start|stop|restart|reload}"
exit 1
esac

Agora torne-o executável:

chmod +x /etc/init.d/ossec 

Adicione-o aos nossos runlevels para que inicie na inicialização:

update-rc.d ossec defaults

ossec.conf

/var/ossec/etc/ossec.conf

ossec

prelude:

 ...
yes

Finalmente, adicionaremos ossec como um agente no prelude:

prelude-adduser registration-server prelude-manager

No servidor de gerenciamento, faça:

prelude-adduser register OSSEC "idmef:w" localhost --uid ossec --gid ossec

Nota: O nome do sensor DEVE estar em letras maiúsculas > OSSEC.

Inicie o ossec com o script init.d alimentado pelo OSSEC (a versão 1.4 agora deve detectar o sistema operacional ubuntu/debian e o script init funcionará!) ou script RShadow.

Se você ver isso, você está funcionando.

Iniciando OSSEC HIDS v1.4 (por Daniel B. Cid)…
Conectando ao 127.0.0.1:4690 servidor do gerenciador prelude.
Autenticação TLS bem-sucedida com o Gerente Prelude.

Agora vá para a URL onde você instalou prewikka, e faça login com o usuário admin e a senha admin. Altere essa senha imediatamente para evitar acesso não autorizado.