Début avec Ossec
Un système de détection d'intrusion peut nous avertir contre les DDO, la force brute, les exploits, la fuite de données, etc.
Chez Linuxhint, nous avons auparavant dédié Snort Two Tutorials, Snort est l'un des principaux systèmes de détection d'intrusion sur le marché et probablement le premier. Les articles étaient installés et utilisaient le système de détection d'intrusion SNORT pour protéger les serveurs et les réseaux et configurer des identifiants de snort et créer des règles.
Cette fois, je vais montrer comment configurer Ossec. Le serveur est au cœur du logiciel, il contient les règles, les entrées d'événements et les politiques tandis que les agents sont installés sur les appareils pour surveiller. Les agents fournissent des journaux et informer sur les incidents au serveur. Dans ce didacticiel, nous n'installerons le côté serveur que pour surveiller l'appareil utilisé, le serveur contient déjà les fonctions de l'agent sur l'appareil dans lequel il est installé.
Installation d'Ossec:
Tout d'abord courir:
APT INSTALLER LIBMARIADB2
Pour les packages Debian et Ubuntu, vous pouvez télécharger Ossec Server sur https: // mises à jour.atomicorp.com / canaux / ososse / debian / pool / main / o / ossec-kids-server /
Pour ce tutoriel, je téléchargerai la version actuelle en tapant la console:
wget https: // mises à jour.atomicorp.com / canaux / ososse / debian / pool / main / o /
OSSEC-HIDS-Server / Ossec-Hids-Server_3.3.0.6515STRICT_AMD64.deb
Puis courez:
DPKG -I OSSEC-HIDS-SERVER_3.3.0.6515STRICT_AMD64.deb
Démarrez Ossec en exécutant:
/ var / ossec / bin / ossec-control start
Par défaut, notre installation n'a pas permis de notification par courrier, pour le modifier
nano / var / ososse / etc / ossec.confli
ChangementNon
PourOui
Et ajouter:VOTRE ADRESSE Serveur SMTP OSSECM @ localhost
Presse ctrl + x et Y Pour économiser et sortir et recommencer Ossec:
/ var / ossec / bin / ossec-control start
Note: Si vous souhaitez installer l'agent d'Ossec sur un autre type d'appareil:
wget https: // mises à jour.atomicorp.com / canaux / ososse / debian / pool / main / o /
Ossec-Hids-Agent / Ossec-Hids-Agent_3.3.0.6515STRICT_AMD64.deb
DPKG -I OSSEC-HIDS-AGent_3.3.0.6515STRICT_AMD64.deb
Encore une fois, vérifiez le fichier de configuration de l'OSSEC
nano / var / ososse / etc / ossec.confli
Faites défiler vers le bas pour atteindre la section Syscheck
Ici, vous pouvez déterminer les répertoires vérifiés par Ossec et les intervalles de révision. Nous pouvons également définir les répertoires et les fichiers à ignorer.
Pour définir Ossec pour signaler des événements en temps réel, modifiez les lignes
/ etc, / usr / bin, / usr / sbin / bin, / sbin
Pour/ etc, / usr / bin,
/ usr / sbin/ bin, / sbin
Pour ajouter un nouveau répertoire pour Ossec pour vérifier ajouter une ligne:
/ Dir1, / dir2
Fermer nano en appuyant Ctrl + x et Y et type:
nano / var / ososse / Rules / Ossec_rules.xml
Ce fichier contient les règles d'Ossec, le niveau de règle déterminera la réponse du système. Par exemple, par défaut, Ossec se rapporte uniquement sur les avertissements de niveau 7, s'il y a une règle avec un niveau inférieur à 7 et que vous souhaitez vous informer lorsque Ossec identifie l'incident modifier le numéro de niveau pour 7 ou plus. Par exemple, si vous souhaitez vous informer lorsqu'un hôte est débloqué par la réponse active d'Ossec, modifiez la règle suivante:
600 pare-feu.shot supprimer Hôte non bloqué par le pare-feu.SH Réponse active active_response,
Pour:600 pare-feu.shot supprimer Hôte non bloqué par le pare-feu.SH Réponse active active_response,
Une alternative plus sûre peut être d'ajouter une nouvelle règle à la fin du fichier réécrit le précédent:
600 pare-feu.shot supprimer Hôte non bloqué par le pare-feu.SH Réponse active
Maintenant, Ossec a installé au niveau local, sur un prochain tutoriel, nous en apprendrons plus sur les règles et la configuration OSSEC.
J'espère que vous avez trouvé ce tutoriel utile pour commencer avec Ossec, continuez à suivre Linuxhint.com pour plus de conseils et de mises à jour sur Linux.