TOC

Comment configurer une installation OSSEC locale sur Fedora 21

introduction

OSSEC est un système de détection d'intrusion (HIDS) à source ouverte basé sur l'hôte qui effectue l'analyse de journal, la vérification de l'intégrité, la surveillance du registre Windows, la détection de rootkit, les alertes en fonction du temps et les réponses actives. C’est l’application à installer sur votre serveur si vous voulez garder un œil sur ce qui se passe à l’intérieur.

OSSEC peut être installé pour surveiller uniquement le serveur sur lequel il est installé, qui est une installation locale au sens propre du terme, ou être installé en tant que serveur pour surveiller un ou plusieurs agents. Dans ce didacticiel, vous apprendrez à installer OSSEC pour surveiller le serveur Fedora 21 ou RHEL sur lequel il est installé: une installation OSSEC locale.

Conditions préalables

Pour compléter ce tutoriel, vous aurez besoin de:

  • Fedora 21 Droplet que vous avez configuré en suivantthis tutorial.

Ce tutoriel doit être suivi en tant qu'utilisateur sudo non root.

[[step-1 -—- Installing-required-packages]] == Étape 1 - Installation des packages requis

Dans cette section, vous allez installer certains packages requis.

En particulier, installezbind-utils,gcc,make etinotify-tools à l'aide de la commande suivante. 

sudo yum install -y bind-utils gcc make inotify-tools

bind-utils fournit des utilitaires DNS (Domain Name System),gcc etmake seront utilisés par le programme d'installation OSSEC etinotify-tools est requis par OSSEC pour les notifications en temps réel.

[[step-2 -—- download-and-verifying-ossec]] == Étape 2 - Téléchargement et vérification d'OSSEC

OSSEC est livré sous forme d'archive compressée. Au cours de cette étape, vous allez le télécharger, ainsi que son fichier de somme de contrôle, qui vérifie que l'archive n'a pas été falsifiée.

Vous pouvez vérifier lesproject’s website pour la dernière version. Au moment d'écrire ces lignes,OSSEC 2.8.1 est la dernière version stable.

Tout d'abord, téléchargez l'archive. 

wget -U ossec http://www.ossec.net/files/ossec-hids-2.8.1.tar.gz

Ensuite, téléchargez le fichier de contrôle. 

wget -U ossec http://www.ossec.net/files/ossec-hids-2.8.1-checksum.txt

Après avoir téléchargé les deux fichiers, vérifiez la somme md5 de l'archive compressée. 

md5sum -c ossec-hids-2.8.1-checksum.txt

Le résultat devrait être: 

ossec-hids-2.8.1.tar.gz: OK
md5sum: WARNING: 1 line is improperly formatted

Suivez cela en vérifiant la somme de contrôle SHA1. 

sha1sum -c ossec-hids-2.8.1-checksum.txt

Sa sortie devrait être: 

ossec-hids-2.8.1.tar.gz: OK
sha1sum: WARNING: 1 line is improperly formatted

Dans chaque cas, ignorez la ligneWARNING. La ligneOK est ce qui confirme que le fichier est bon.

[[step-3 -—- find-your-smtp-server]] == Étape 3 - Trouver votre serveur SMTP

Lors de la configuration des notifications par courrier électronique lors de l'installation d'OSSEC, OSSEC vous demandera votre serveur SMTP. Dans cette étape, nous allons trouver cette information.

Pour déterminer le serveur SMTP correct à utiliser pour votre fournisseur de services de messagerie, vous pouvez utiliser la commandedig pour interroger les enregistrements de ressources de l’échangeur de courrier (MX) du fournisseur. Entrez la commande suivante en remplaçantexample.com par le nom de domaine de votre fournisseur de messagerie: 

dig -t mx example.com

La sortie est composée de plusieurs sections, mais nous ne sommes intéressés que par la sectionANSWER, qui contient une ou plusieurs lignes. A la fin de chaque ligne se trouve le serveur SMTP à utiliser.

Par exemple, si vous exécutez la commande en utilisantfastmail.com: 

dig -t mx fastmail.com

Les serveurs SMTP valides pour le fournisseur seront à la fin de chaque liste dans la section REPONSE, qui devrait se lire: 

;; ANSWER SECTION:
fastmail.com.           3600    IN      MX      10 in1-smtp.messagingengine.com.
fastmail.com.           3600    IN      MX      20 in2-smtp.messagingengine.com.

Dans cet exemple, vous pouvez utiliserin1-smtp.messagingengine.com. ouin2-smtp.messagingengine.com. comme serveur SMTP.

Copiez l'un des serveurs SMTP de votre fournisseur de messagerie et enregistrez-le pour le saisir à l'étape suivante. Veillez également à inclure les. (période) à la fin.

[[step-4 -—- Installing-ossec]] == Étape 4 - Installation d'OSSEC

Dans cette étape, nous allons installer OSSEC.

Avant de lancer l'installation, décompressez-la en utilisant: 

tar xf ossec-hids-2.8.1.tar.gz

Il sera décompressé dans un répertoire appeléossec-hids-2.8.1. Changer dans ce répertoire. 

cd ossec-hids-2.8.1

Puis lancez l'installation. 

sudo ./install.sh

Tout au long du processus d’installation, vous serez invité à fournir des informations. Dans la plupart de ces cas, il vous suffit d’appuyer surENTER pour accepter la valeur par défaut.

Vous serez d'abord invité à sélectionner la langue d'installation. Par défaut, c'est l'anglais (en), donc appuyez surENTER si c'est votre langue préférée. Sinon, tapez les 2 lettres de la liste des langues prises en charge. Appuyez ensuite à nouveau surENTER pour démarrer l'installation.

La question 1 demandera quel type d'installation vous voulez. Ici, entrezlocal. 

1- What kind of installation do you want (server, agent, local, hybrid or help)? local

Pour toutes les questions suivantes, appuyez surENTER pour accepter la valeur par défaut. La question 3.1 vous demandera en outre votre adresse électronique, puis demandera l'adresse IP / l'hôte de votre serveur SMTP. Ici, entrez votre adresse électronique et le serveur SMTP que vous avez enregistré à l’étape 3.

Si l'installation réussit, à la fin, vous devriez voir cette sortie: 

 - Configuration finished properly.

...

    More information can be found at http://www.ossec.net

    ---  Press ENTER to finish (maybe more information below). ---

Appuyez surENTER pour terminer l'installation.

[[step-5 -—- verifying-ossec-39-s-email-settings]] == Étape 5 - Vérification des paramètres de messagerie d'OSSEC

Nous allons ici vérifier que les informations d'identification de messagerie spécifiées à l'étape précédente et celles que OSSEC a configurées automatiquement sont correctes.

Les paramètres de messagerie se trouvent dans le fichier de configuration principal d'OSSEC,ossec.conf, qui se trouve dans le répertoire/var/ossec/etc. Pour accéder à un fichier OSSEC et le modifier, vous devez d’abord passer à l’utilisateur root. 

sudo su

Maintenant que vous êtes root,cd dans le répertoire où se trouve le fichier de configuration d'OSSEC. 

cd /var/ossec/etc

Tout d’abord, faites une copie de sauvegarde de ce fichier. 

cp ossec.conf ossec.conf.00

Ensuite, ouvrez le fichier d'origine. Ici, nous utilisons l'éditeur de texte denano, mais vous pouvez utiliser n'importe quel éditeur de texte que vous aimez. 

nano ossec.conf

Les paramètres de messagerie sont en haut du fichier. Voici les descriptions des champs.

  • <email_to> est l'e-mail que vous avez donné lors de l'installation. Les alertes seront envoyées à cette adresse email.

  • <email_from> est la provenance des alertes OSSEC. Remplacez-la par une adresse électronique valide afin de réduire les risques que vos courriels soient marqués comme courrier indésirable par le serveur SMTP de votre fournisseur de messagerie.

  • <smtp_server> est le serveur SMTP que vous avez spécifié lors de l'installation.

Notez que<email_to> et<email_from> peuvent être identiques, et si vous avez votre propre serveur de messagerie sur le même hôte que le serveur OSSEC, vous pouvez changer le paramètre<smtp_server> enlocalhost .

Voici à quoi cette section ressemblera lorsque vous aurez terminé. 


    yes
    [email protected]
    mail.example.com.
    [email protected]

Après avoir modifié les paramètres de messagerie, enregistrez et fermez le fichier. Puis démarrez OSSEC. 

/var/ossec/bin/ossec-control start

Vérifiez votre boîte de réception pour un email qui indique que OSSEC a commencé. Si vous recevez un e-mail de votre installation OSSEC, vous savez que les futures alertes atteindront également votre boîte de réception. Si vous ne le faites pas, vérifiez votre dossier de courrier indésirable.

[[step-6 -—- added-alerts]] == Étape 6 - Ajout d'alertes

Par défaut, OSSEC émettra des alertes sur les modifications de fichiers et d'autres activités sur le serveur, mais il n'alertera pas sur les nouveaux ajouts de fichiers et n'alertera pas non plus en temps réel - uniquement après l'analyse système planifiée, qui est de 79200 secondes (ou 22 heures) ) par défaut. Dans cette section, nous allons ajouter des alertes sur les ajouts de fichiers en temps réel.

Tout d'abord, ouvrezossec.conf. 

nano ossec.conf

Puis faites défiler jusqu'à la section<syscheck> qui commence par ce texte: 


    
    79200

Juste sous la balise<frequency>, ajoutez<alert_new_files>yes</alert_new_files>. 


    
    79200

    yes

Tant queossec.conf est toujours ouvert, jetez un œil à la liste des répertoires système surveillés par OSSEC, qui se trouve juste sous la dernière ligne que vous venez de modifier. Il devrait lire: 


/etc,/usr/bin,/usr/sbin
/bin,/sbin

Pour chaque liste de répertoires, ajoutez les optionsreport_changes="yes" etrealtime="yes". Une fois les modifications apportées, la section suivante devrait se lire: 


/etc,/usr/bin,/usr/sbin
/bin,/sbin

En plus de la liste par défaut des répertoires que OSSEC a été configurée pour surveiller, vous pouvez également ajouter ceux que vous souhaitez surveiller. Par exemple, vous pouvez ajouter une surveillance pour votre répertoire personnel,/home/sammy. Pour ce faire, ajoutez cette nouvelle ligne directement sous d'autres lignes du répertoire, en remplaçant par votre nom d'utilisateur: 

/home/sammy

Maintenant, enregistrez et fermezossec.conf.

Le prochain fichier à modifier se trouve dans le répertoire/var/ossec/rules, alors déplacez-vous vers ce répertoire. 

cd /var/ossec/rules

Le répertoire/var/ossec/rules contient de nombreux fichiers XML, y comprisossec_rules.xml, qui contient les définitions de règles par défaut d'OSSEC, etlocal_rules.xml, où vous pouvez ajouter des règles personnalisées. local_rules.xml est le seul fichier que vous devez éditer dans ce répertoire.

Dansossec_rules.xml, la règle qui se déclenche lorsqu'un fichier est ajouté à un répertoire surveillé est la règle 554. Par défaut, OSSEC n'envoie pas d'alertes lorsque cette règle est déclenchée; la tâche consiste donc à modifier ce comportement. Voici à quoi ressemble la règle 554 par défaut: 


ossec
syscheck_new_entry
File added to the system.
syscheck,

OSSEC n'envoie pas d'alerte si une règle est définie au niveau 0, nous allons donc copier cette règle danslocal_rules.xml et la modifier pour déclencher une alerte. Pour ce faire, ouvrezlocal_rules.xml. 

nano local_rules.xml

Ajoutez ce qui suit à la fin du fichier, avant la ligne avec la balise</group>. 


ossec
syscheck_new_entry
File added to the system.
syscheck,

Enregistrez et fermez le fichier. Maintenant, redémarrez OSSEC pour recharger les fichiers que nous avons édités. 

/var/ossec/bin/ossec-control restart

Vous devriez maintenant recevoir des alertes d'OSSEC sur les répertoires surveillés et les fichiers journaux.

Conclusion

Vous avez maintenant une installation OSSEC locale de base configurée. De nombreuses personnalisations supplémentaires sont disponibles, que vous pouvez explorer dansits official documentation.

Pour savoir comment installer OSSEC en mode client-serveur ou serveur-agent (au lieu du mode local), consultezHow To Monitor OSSEC Agents Using an OSSEC Server on Ubuntu 14.04.

Related