introduction
-
OSSEC * est un système de détection d’intrusion basé sur un hôte (HIDS) à code source ouvert qui effectue l’analyse des journaux, la vérification de l’intégrité, la surveillance du registre Windows, la détection de rootkit, les alertes en fonction du temps et les réponses actives.
C’est l’une des applications de sécurité les plus importantes que vous puissiez installer sur votre serveur et elle peut être utilisée pour surveiller un ou plusieurs ordinateurs de manière client / serveur ou agent / serveur. S’il est correctement configuré, OSSEC peut vous donner un aperçu de ce qui se passe sur votre serveur via des alertes par e-mail pour un nombre quelconque d’adresses e-mail configurées.
Ce tutoriel vous montrera comment installer et configurer OSSEC pour surveiller un Droplet DigitalOcean exécutant FreeBSD 10.1. Outre les ensembles de règles par défaut d’OSSEC pour l’accès des utilisateurs et la vérification de l’intégrité, nous configurerons des règles supplémentaires de sorte que si un fichier est modifié ou ajouté au système, OSSEC vous en informera par courrier électronique.
Voici un exemple du type d’alerte envoyé par OSSEC:
OSSEC HIDS Notification.
2015 Jan 25 11:42:49
Received From: liniverse->syscheck
Rule: 551 fired (level 7) -> "Integrity checksum changed again (2nd time)."
Portion of the log(s):
Integrity checksum changed for: '/usr/local/etc/ssmtp/ssmtp.conf'
Size changed from '1367' to '1384'
What changed:
36c36,37
< UseTLS=YES
---
#UseTLS=YES
UseSTARTTLS=YES
Old md5sum was: '39f219a7db9987c3623d5a2f7511dfc1'
New md5sum is : '9971ecc1b0c744ee3f744255248e7c11'
Old sha1sum was: 'fc945ffc84b243cd36f8dd276f99c57f912f902b'
New sha1sum is : '1289fe0008a3d8bf74db8f73c09bf18db09572cc'
--END OF NOTIFICATION-
Remarque: * OSSEC est actuellement capable d’alerter en temps réel uniquement sous Linux et Windows. Les alertes en temps réel sur FreeBSD sont toujours en cours et, à cause de cela, les alertes sur les suppressions de fichiers ne fonctionnent pas sur FreeBSD.
Conditions préalables
OSSEC a besoin d’un pare-feu actif sur le système pour sa fonction de réponse active. Il est également important que le serveur garde une heure précise qui appelle l’activation de NTP. Enfin, le fuseau horaire du serveur doit être défini - par défaut, il s’agit de l’UTC.
Donc, pour ce tutoriel, vous aurez besoin de:
-
Un nouveau Droplet sous FreeBSD 10.1.
-
Un pare-feu activé, NTP activé et le fuseau horaire configuré. Vous pouvez le faire en suivant les instructions dans Etapes recommandées pour les nouveaux serveurs FreeBSD 10.1. Ignorez l’espace de permutation supplémentaire de la section.
-
Remarque: * Les autorisations de pare-feu UDP ne sont pas nécessaires au fonctionnement d’OSSC mais, en fonction des services que vous exécutez sur votre serveur, vous devrez peut-être autoriser le trafic UDP pour ces services.
Lorsque vous avez fini d’activer NTP, vous pouvez vérifier son fonctionnement en tapant:
sudo service ntpd onestatusLa sortie sera similaire à celle ci-dessous mais avec un ID de processus différent (pid).
ntpd is running as pid .Vous pouvez également vérifier que le fuseau horaire est correctement défini en tapant + date. Le fuseau horaire que vous avez choisi sera dans la sortie.
Optionnel
Aucune de ces deux prochaines modifications n’est requise, mais il est généralement suggéré de rendre FreeBSD plus convivial pour les débutants.
-
Installez et activez Bash.
+ tsch + est le shell par défaut de FreeBSD 10.1. Si vous préférez utiliser Bash, vous pouvez l’installer en suivant les instructions sous Changement du shell par défaut dans https://www.digitalocean.com/community/tutorials/how-to-get-started-with-freebsd-10-1. [Comment démarrer avec FreeBSD 10.1]. Ceci définira définitivement votre shell par défaut sur Bash, y compris toutes les sessions de connexion futures.
-
Installez
+ nano +.
L’éditeur de terminal par défaut dans FreeBSD est + Vi + et, bien que puissant, il peut être peu intuitif pour les nouveaux utilisateurs. + nano + est un modèle qui élimine une partie de la complexité pour les nouveaux utilisateurs par rapport à + Vi +.
Vous pouvez utiliser l’éditeur de votre choix, mais + nano + sera utilisé tout au long de ce tutoriel. Il peut être installé en entrant dans le terminal:
sudo pkg install nanoÉtape 1 - Mettre à jour le système
Connectez-vous et appliquez les mises à jour de sécurité et de package disponibles au système. Si vous n’êtes pas déjà connecté, faites-le en tapant:
ssh freebsd@Remplacez l’adresse IP dans la commande ci-dessus par la véritable adresse IP de votre serveur. L’utilisateur par défaut de FreeBSD est * freebsd * et il dispose des privilèges + sudo +. Une fois connecté, recherchez et installez les mises à jour de sécurité disponibles en tapant:
sudo freebsd-update fetch installUne fois cette opération terminée, installez les mises à jour de paquet disponibles.
sudo pkg upgradeSi ces commandes contiennent des mises à jour du noyau, redémarrez le serveur, puis reconnectez-vous.
Étape 2 - Installer et activer OSSEC
Sur FreeBSD, vous pouvez utiliser trois méthodes pour installer OSSEC: en téléchargeant le dernier fichier binaire à partir du site https://ossec.net du projet, à partir de l’arborescence des ports ou en installant un fichier binaire prédéfini à partir de FreeBSD dépôt. La dernière méthode est de loin la plus simple et c’est celle que nous allons utiliser pour ce tutoriel. Il est également facile de mettre à jour OSSEC.
Pour voir quels paquets binaires OSSEC sont disponibles dans FreeBSD 10.1, tapez:
sudo pkg search ossecLa sortie devrait ressembler à ceci:
ossec-hids-client-2.8.1_1
ossec-hids-local-2.8.1_1
ossec-hids-server-2.8.1_1L’objectif étant d’utiliser OSSEC pour surveiller uniquement le serveur sur lequel il est installé (installation locale), le package binaire à installer est + ossec-hids-local-2.8.1_1 + ou quelle que soit la version du package local. Le binaire client vous permettra d’installer un agent OSSEC, qui renvoie à un serveur OSSEC, si le binaire du serveur est installé sur un autre droplet.
Pour installer le binaire local, tapez:
sudo pkg install ossec-hids-local-2.8.1_1Selon la sortie de l’installation, OSSEC utilisera + chroot + dans + / usr / local / ossec-hids +, de sorte que son fichier de configuration et ses répertoires se trouvent dans ce répertoire.
Maintenant que vous avez installé OSSEC, il doit être activé pour pouvoir démarrer au démarrage. Pour l’activer. ouvrez + / etc / rc.conf + à nouveau.
sudo nano /etc/rc.confAjoutez les lignes suivantes:
# For OSSEC HIDS
ossechids_enable="YES"Enfin, enregistrez et fermez le fichier.
Étape 3 - Définir les informations d’identification de messagerie pour les notifications OSSEC
Depuis que nous avons installé OSSEC à partir du référentiel, les paramètres de courrier électronique dans son fichier de configuration sont des paramètres factices. Il doit être fourni avec de véritables identifiants de courrier électronique pour que vous puissiez recevoir des notifications. Pour rectifier cela, vous devez modifier le fichier + ossec.conf + situé dans + / usr / local / ossec-hids / etc +.
+ ossec.conf + est un fichier de configuration très important pour OSSEC. Avant de le modifier, effectuez une copie de sauvegarde.
sudo cp /usr/local/ossec-hids/etc/ossec.conf /usr/local/ossec-hids/etc/ossec.conf.00Ouvrez maintenant le fichier original.
sudo nano /usr/local/ossec-hids/etc/ossec.confLa première partie à modifier se trouve tout en haut du fichier et est illustrée ci-dessous. Ces paramètres indiquent à OSSEC où envoyer les alertes et quel serveur SMTP il doit utiliser.
<global>
<email_notification>yes</email_notification>
<email_to>[email protected]</email_to>
<smtp_server>smtp.xxx.com.</smtp_server>
<email_from>[email protected].</email_from>
</global>Envoyer un mail
FreeBSD 10.1 est livré avec Sendmail par défaut et si vous souhaitez l’utiliser pour les notifications par courrier électronique d’OSSEC, alors * smtp_server * doit être défini sur * localhost * comme indiqué ci-dessous.
<global>
<email_notification>yes</email_notification>
<email_to></email_to>
<smtp_server></smtp_server>
<email_from></email_from>
</global>-
Remarque: * Sendmail peut gérer le courrier entrant et sortant. Si vous n’avez pas besoin des services entrants de Sendmail, ajoutez les lignes ci-dessous à
+ / etc / rc.conf +.
# For Sendmail
sendmail_enable="NO"Serveur SMTP tiers
Si, toutefois, vous souhaitez spécifier un serveur SMTP tiers et ne pas utiliser l’instance locale de Sendmail, la zone de notification par courrier électronique de + ossec.conf + devrait ressembler à ceci:
<global>
<email_notification>yes</email_notification>
<email_to></email_to>
<smtp_server></smtp_server>
<email_from></email_from>
</global>Lorsque vous avez spécifié tous les paramètres de messagerie nécessaires, enregistrez et fermez le fichier. Pour vérifier que OSSEC peut maintenant envoyer des alertes, démarrez-le en tapant:
sudo /usr/local/ossec-hids/bin/ossec-control startSi tout va bien, vous devriez recevoir un email à l’adresse configurée de cette sorte:
OSSEC HIDS Notification.
2015 Jan 23 23:08:32
Received From: liniverse->ossec-monitord
Rule: 502 fired (level 3) -> "Ossec server started."
Portion of the log(s):
ossec: Ossec started.
--END OF NOTIFICATIONSi vous n’avez pas reçu d’e-mail, vérifiez votre dossier Spam.
Étape 4 - Configurez syscheck
A partir de là, nous continuerons à travailler dans + ossec.conf +. Les modifications de configuration seront présentées dans l’ordre dans lequel elles apparaissent dans le fichier.
sudo nano /usr/local/ossec-hids/etc/ossec.confAjustez l’intervalle de vérification du système
+ syscheck + est le processus de vérification de l’intégrité d’OSSEC. Nous pouvons indiquer à syscheck la fréquence à laquelle analyser et contrôler le système de fichiers pour rechercher des preuves de modifications non autorisées.
Faites défiler jusqu’à la section * syscheck *. Les deux premières lignes doivent se lire:
<syscheck>
<!-- Frequency that syscheck is executed -- default every 20 hours -->
<frequency>17200</frequency>Ce paramètre indique à OSSEC d’effectuer des vérifications du système une fois toutes les 17 200 secondes. C’est un bon intervalle de fréquence pour un système de production. Cependant, la notification en temps réel n’étant pas prise en charge dans une installation binaire d’OSSEC sur FreeBSD, il est recommandé de réduire cette valeur à quelque chose comme secondes. Ensuite, vous pouvez recevoir des notifications dans un délai plus court lorsque vous testez OSSEC. Après le test, vous pouvez le rétablir par défaut.
Spécifier les répertoires à surveiller
Une installation par défaut d’OSSEC s’appuie sur Linux. Par conséquent, les fichiers et les répertoires surveillés par défaut reflètent ceux généralement présents sur un système Linux. Ils doivent donc être modifiés pour s’adapter à une installation de FreeBSD. Ces répertoires sont listés juste en dessous du paramètre précédent que vous avez modifié, et les valeurs par défaut sont:
<!-- Directories to check (perform all possible verifications) -->
<directories check_all="yes">/etc,/usr/bin,/usr/sbin</directories>
<directories check_all="yes">/bin,/sbin</directories>Comme indiqué précédemment, ces paramètres conviennent à un serveur Linux, mais ils doivent être modifiés pour un serveur FreeBSD. Voici un exemple de configuration pour un serveur FreeBSD 10.1.
<!-- Directories to check (perform all possible verifications) -->
<directories check_all="yes">/etc,/usr/bin,/usr/sbin</directories>
<directories check_all="yes">/bin,/sbin</directories>
freebsdLes deux lignes supplémentaires en rouge ont été ajoutées. Le premier ajout est spécifique à un serveur FreeBSD et le second indique à OSSEC que nous voulons que le répertoire personnel de * freebsd soit surveillé. Si vous utilisez un autre nom d’utilisateur, changez + / home / + pour le faire correspondre.
-
Remarque: * Le répertoire
+ / usr / local / www +est l’emplacement où les données du serveur Web sont stockées dans FreeBSD. Si vous avez l’intention d’héberger un site Web, les données de ce site seront toutes dans ce répertoire. Cela en fait un répertoire important à surveiller.
Spécifier les fichiers ou les répertoires à ignorer
La section suivante de + ossec.conf + est une liste de fichiers que OSSEC devrait ignorer car ils ont tendance à changer très souvent et créeraient trop de faux positifs. La liste de fichiers par défaut est indiquée ci-dessous.
<!-- Files/directories to ignore -->
<ignore>/etc/mtab</ignore>
<ignore>/etc/hosts.deny</ignore>
<ignore>/etc/mail/statistics</ignore>
<ignore>/etc/random-seed</ignore>
<ignore>/etc/adjtime</ignore>
<ignore>/etc/httpd/logs</ignore>Là encore, la liste par défaut est spécifique à un système Linux. Par exemple, FreeBSD 10.1 n’utilise pas de fichier + mtab + ou + hosts.deny + par défaut.
Alors, quels fichiers devez-vous configurer pour qu’SSSSEC les ignore sur un serveur FreeBSD 10.1? Pour la plupart, c’est quelque chose que vous devez comprendre au fur et à mesure, car cela dépend de ce que vous avez installé sur le serveur.
Par exemple, le fichier + hosts.deny + a été fusionné avec le fichier + hosts.allow +. Donc, cela pourrait être quelque chose que vous voudriez ignorer. Cependant, en gardant un œil sur le fichier + hosts.allow +, vous pourrez savoir qui jettera des pierres sur votre serveur, car toutes les adresses IP dont les tentatives de connexion ont été refusées sont conservées.
Si vous avez installé Bash, le fichier + .bash_profile est un bon candidat à ignorer. Par une alerte sur ce fichier, vous obtenez un aperçu des commandes exécutées sur votre serveur. Si vous avez installé sSMTP, un serveur de messagerie avec envoi uniquement, son fichier + dead.letter + en est un autre qui peut être ignoré. De plus, après l’installation de + lsof +, son fichier + .lsof_HOSTNAME + peut être ignoré.
Le point général est le suivant: après avoir installé une application, vérifiez si elle a créé un répertoire caché dans votre + / home +. Ce fichier caché peut être un bon candidat à ignorer. En cas de doute, vous pouvez laisser les fichiers * / répertoires à ignorer * inchangés. Gardez juste un œil sur les alertes envoyées par OSSEC. Leur contenu vous donnera une idée des fichiers que vous devriez configurer OSSEC pour ignorer.
Pour vous aider avec cette section, voici à quoi cela ressemble sur le serveur de test utilisé pour ce tutoriel avec l’utilisateur par défaut * freebsd *.
<!-- Files/directories to ignore -->
<ignore>/home//dead.letter</ignore>
<ignore>/home//.bash_profile</ignore>
<ignore>/home//.lsof_liniverse</ignore>
<ignore>/etc/dumpdates</ignore>
<ignore>/usr/local/ossec-hids/logs</ignore>
<ignore>/usr/local/ossec-hids/queue</ignore>
<ignore>/usr/local/ossec-hids/var</ignore>
<ignore>/usr/local/ossec-hids/tmp</ignore>
<ignore>/usr/local/ossec-hids/stats</ignore>Comme vous pouvez le constater, cette liste ignore plusieurs répertoires de l’arborescence d’installation d’OSSEC. Si vous ne tenez pas compte de ces répertoires, le système risque de manquer d’espace disque en très peu de temps.
Étape 5 - Configurez Rootcheck
Le prochain arrêt dans + ossec.conf + est la section * rootcheck *. Rootcheck est un composant d’OSSEC qui analyse le système à la recherche de rootkits. Par défaut, on lit:
<rootcheck>
<rootkit_files>/var/ossec/etc/shared/rootkit_files.txt</rootkit_files>
<rootkit_trojans>/var/ossec/etc/shared/rootkit_trojans.txt</rootkit_trojans>
</rootcheck>OSSEC sur FreeBSD 10.1 n’est pas installé dans + / var / ossec +, mais dans + / usr / local / ossec-hids +, aussi modifiez ces lignes pour refléter cela. Ensuite, cette section devrait se lire comme suit:
<rootcheck>
<rootkit_files>/etc/shared/rootkit_files.txt</rootkit_files>
<rootkit_trojans>/etc/shared/rootkit_trojans.txt</rootkit_trojans>
</rootcheck>C’est tout ce dont vous avez besoin de changer dans + ossec.conf + - pour l’instant. Enregistrez et fermez-le; nous y reviendrons plus tard. Pour vous assurer que tout a été configuré correctement, essayez de redémarrer OSSEC.
sudo /usr/local/ossec-hids/bin/ossec-control restartLe redémarrage devrait être réussi. S’il renvoie une erreur de configuration, revérifiez vos entrées pour les étapes 4 et 5.
Étape 6 - Spécifier les fichiers journaux à surveiller
Une installation par défaut d’OSSEC est configurée pour surveiller les fichiers journaux dont les emplacements sont spécifiques à un système Linux. Sous FreeBSD 10.1, certains de ces fichiers ont un nom légèrement différent bien qu’ils se trouvent toujours dans le même répertoire + / var / log +.
Si vous consultez le fichier journal d’OSSEC (+ / var / log / ossec-hids / logs / ossec.log +), vous verrez des entrées comme celles-ci:
ossec-logcollector(1950): INFO: Analyzing file: '/var/log/messages'
ossec-logcollector(1103): ERROR: Unable to open file '/var/log/authlog'
ossec-logcollector(1103): ERROR: Unable to open file '/var/log/secure'
ossec-logcollector(1950): INFO: Analyzing file: '/var/log/xferlog'Une entrée contenant * ERREUR: impossible d’ouvrir le fichier * indique un fichier que OSSEC n’a pas pu trouver car il n’existe pas ou que les autorisations sont éventuellement erronées. Vérifiez ce qui se passe sur votre système avant de tirer une conclusion.
Voici comment déterminer l’emplacement des fichiers journaux que OSSEC devrait surveiller sous FreeBSD 10.1. Nous allons utiliser + lsof + pour lister les fichiers ouverts que le système utilise pendant l’exécution. + lsof + n’est pas installé par défaut, installez-le d’abord:
sudo pkg install lsofEnsuite, pour exécuter la vérification du fichier journal, utilisez la commande suivante:
lsof | grep log | grep -v ".so" | egrep -v "ossec|proc|dev|run"Tout ce que cette commande fait est de rechercher tous les fichiers ouverts, de conserver les fichiers journaux qui nous intéressent et de larguer les autres. Nous ne voulons certainement pas surveiller les fichiers dans le répertoire d’installation d’OSSEC, ni dans + / proc +, + / dev + ou + / var / run +. Vous devriez obtenir une sortie contenant une liste de fichiers journaux. Le bloc de code suivant montre une partie de la sortie sur le système de test utilisé pour ce tutoriel:
syslogd ... root ... /var/log/messages
syslogd ... root ... /var/log/security
syslogd ... root ... /var/log/auth.log
syslogd ... root ... /var/log/maillog
syslogd ... root ... /var/log/lpd-errsSi vous comparez les noms de cette sortie avec ceux du fichier journal d’OSSEC, il est facile de voir que + / var / log / auth.log + est identique à + / var / log / authlog + et + / var / log / security + `est l’équivalent de + / var / log / secure + `de FreeBSD.
Ouvrez à nouveau + ossec.conf + et modifiez les noms des fichiers journaux pour qu’ils correspondent aux noms utilisés dans FreeBSD 10.1.
sudo nano /usr/local/ossec-hids/etc/ossec.confLe bloc de code ci-dessous montre un exemple de ce que devraient être les lignes modifiées. Vous voudrez ajouter des emplacements de journal pour les services spécifiques que vous avez installés et que vous exécutez sur le serveur; des services comme Nginx, Apache, etc.
<!-- Files to monitor (localfiles) -->
<localfile>
<log_format>syslog</log_format>
<location>/var/log/</location>
</localfile>
<localfile>
<log_format>syslog</log_format>
<location>/var/log/</location>
</localfile>Ajout d’entrées de fichier journal avec util.sh
Si longtemps après avoir installé OSSEC, vous avez un fichier journal dans un répertoire personnalisé que vous souhaitez surveiller, vous pouvez utiliser la commande + util.sh + d’OSSEC pour l’ajouter ou ouvrir + ossec.conf + avec nano et l’ajouter. manuellement.
Par exemple, si vous avez installé Nginx et que ses fichiers d’accès et d’erreurs se trouvent dans le répertoire + / var / log / nginx +, vous pouvez les ajouter à + ossec.conf + en utilisant + util.sh + comme suit:
/usr/local/ossec-hids/bin/util.sh addfile /var/log/
/usr/local/ossec-hids/bin/util.sh addfile /var/log/-
Remarque: * Si vous exécutez ces deux commandes telles qu’elles sont présentées et que Nginx n’est pas installé, vous obtiendrez une erreur indiquant que les fichiers journaux n’existent pas.
À ce stade, nous avons un dernier changement à faire dans + ossec.conf +, laissez donc le fichier ouvert pendant que vous vous déplacez à l’étape suivante.
Étape 7 - Alerte sur les nouveaux fichiers
Par défaut, OSSEC ne prévient pas lorsque de nouveaux fichiers sont créés dans le système. Nous allons donc modifier ce comportement. Ce changement comporte deux composantes.
Set syscheck
Revenez dans la zone + syscheck + de la section + ossec.conf + et ajoutez une ligne * alertnewfiles * juste en dessous de l’intervalle de vérification de fréquence.
Le résultat devrait se lire comme suit:
<syscheck>
<!-- Frequency that syscheck is executed -- default every 20 hours -->
<frequency>17200</frequency>Maintenant, vous pouvez sauvegarder et fermer + ossec.conf +. Nous en avons fini avec ça.
Modifier le niveau de classification de la règle
Bien que nous ayons demandé à + syscheck + de surveiller les fichiers nouvellement créés, OSSEC ne nous en a pas encore informé. Pour cela, nous devons modifier une règle OSSEC par défaut.
Ouvrez + ossec rules.xml dans` + nano + `.
sudo nano /usr/local/ossec-hids/rules/ossec_rules.xmlLa règle * 554 * est la règle qui se déclenche lorsqu’un fichier est ajouté à un répertoire surveillé. Voici à quoi ça ressemble:
<rule id="554" level="0">
<category>ossec</category>
<decoded_as>syscheck_new_entry</decoded_as>
<description>File added to the system.</description>
<group>syscheck,</group>
</rule>OSSEC n’envoie pas d’alerte si une règle a un * niveau * défini sur * 0 *. Vous devez donc copier cette règle dans + local_rules.xml + et la modifier afin qu’elle déclenche une alerte. Vous pouvez utiliser une souris ou un pavé tactile pour sélectionner la règle dans + nano +, la copier et la coller temporairement dans un éditeur de texte sur votre ordinateur hôte.
Maintenant, ouvrez + local_rules.xml. C’est là que toutes les règles OSSEC modifiées par l’utilisateur devraient aller; vous ne devriez pas apporter de modifications à + ossec ruleset.xml.
sudo nano /usr/local/ossec-hids/rules/local_rules.xmlUtilisez + CONTROL + SHIFT + V + pour coller la règle de l’éditeur de texte de votre ordinateur hôte dans + nano +. Assurez-vous de le coller dans les balises * group *. Nous allons changer le niveau de notification en + 7 + et indiquer à OSSEC que cette règle remplace la règle * 554 * de + ossec_rules.xml + `.
Une fois terminé, la fin de votre fichier + local_rules.xml devrait ressembler à celle ci-dessous. La première ligne est tout ce qui a été modifié par rapport à la règle d’origine.
<rule id="554" level="7" overwrite="yes">
<category>ossec</category>
<decoded_as>syscheck_new_entry</decoded_as>
<description>File added to the system.</description>
<group>syscheck,</group>
</rule>
</group> <!-- SYSLOG,LOCAL -->
<!-- EOF -->Lorsque tout est terminé, enregistrez et fermez le fichier, puis redémarrez OSSEC en tapant:
sudo /usr/local/ossec-hids/bin/ossec-control restartConclusion
Peu de temps après avoir redémarré OSSEC, vous devriez recevoir une alerte indiquant que celui-ci a démarré, comme vous l’avez fait à l’étape 3 lors de la configuration du serveur SMTP. Ce serait une bonne idée de se familiariser avec les différents niveaux de règles et la sévérité qu’ils impliquent. Vous pouvez en apprendre davantage à leur sujet dans la OSSEC documentation.
De plus, après la prochaine vérification du système par OSSEC, vous devriez également recevoir les alertes standard que vous pouvez attendre d’un nouveau système. Voici quelques notifications que vous verrez probablement (ou verrez des variations) peu après que vous ayez configuré votre serveur.
La première fois que l’utilisateur * freebsd * exécute une commande sudo.
OSSEC HIDS Notification.
2015 Jan 24 07:10:56
Received From: liniverse->/var/log/auth.log
Rule: 5403 fired (level 4) -> "First time user executed sudo."
Portion of the log(s):
Jan 24 02:10:56 liniverse sudo: freebsd : TTY=pts/1 ; PWD=/usr/home/freebsd ; USER=root ; COMMAND=/usr/sbin/pkg install namp
--END OF NOTIFICATIONOSSEC a bloqué l’adresse IP 93.50.186.75 dans hosts.allow.
OSSEC HIDS Notification.
2015 Jan 25 02:06:47
Received From: Freebsd->syscheck
Rule: 552 fired (level 7) -> "Integrity checksum changed again (3rd time)."
Portion of the log(s):
Integrity checksum changed for: '/etc/hosts.allow'
Size changed from '3408' to '3434'
What changed:
93a94
ALL : 93.50.186.75 : deny
Old md5sum was: 'f8ba903734ee1bd6afae641974a51522'
New md5sum is : '56dfbd3922cf7586b81b6575f6564196'
Old sha1sum was: 'a7a9886aa90f2f6aaa7660490809d6a0717b8d76'
New sha1sum is : '6a0bf14c4614976d2c2e1157f157ae513f3f9cfc'
--END OF NOTIFICATIONLe fichier + ngx.txt + a été créé dans + / home / freebsd +.
OSSEC HIDS Notification.
2015 Jan 24 20:08:38
Received From: liniverse->syscheck
Rule: 554 fired (level 7) -> "File added to the system."
Portion of the log(s):
New file '/home/freebsd/ngx.txt' added to the file system.
--END OF NOTIFICATIONJ’espère que cela vous a donné un avant-goût de ce que l’OSSEC a à offrir. Comme indiqué précédemment, les alertes en temps réel et les suppressions de fichiers ne sont pas encore prises en charge sur FreeBSD. Cependant, une demande de fonctionnalité relative à celles-ci a été faite sur la page GitHub du projet. Pour plus d’informations sur OSSEC, visitez le site Web du projet à l’adresse http://www.ossec.net [http://www.ossec.net/].