Cet article est la première partie du tutoriel complet pour installer le serveur/agent OSSEC sur un VPS Ubuntu 14.04 . Cette partie couvre l'installation d'OSSEC 2.8.3 (la dernière version stable au moment de la rédaction de ce didacticiel), l'installation de l'interface utilisateur Web et montre comment activer la prise en charge de MySQL pour OSSEC.
OSSEC est un système de détection d'intrusion Open Source basé sur l'hôte. Il combine tous les aspects du HIDS (détection d'intrusion basée sur l'hôte) et de la gestion des incidents de sécurité (SIM)/de la gestion des informations et des événements de sécurité (SIEM) dans une solution simple, puissante et open source.
Les principaux avantages d'OSSEC sont :
- Exigences de conformité
- Multiplateforme
- Alertes en temps réel et configurables
- Intégration avec l'infrastructure actuelle
- Gestion centralisée
- Surveillance avec et sans agent
OSSEC effectue une analyse des journaux, une vérification de l'intégrité des fichiers, une surveillance des politiques, une détection des rootkits, des alertes en temps réel et une réponse active. Pour vérifier les systèmes d'exploitation et les formats de journal pris en charge par OSSEC, veuillez visiter leur page.
CONFIGURATIONS
Nous utiliserons notre plan d'hébergement VPS Linux SSD 1 pour ce didacticiel.
Connectez-vous à votre serveur via SSH :
# ssh root@server_ip
Avant de commencer, entrez la commande ci-dessous pour vérifier si vous avez la bonne version d'Ubuntu installée sur votre machine :
# lsb_release -a
Cela devrait vous donner la sortie ci-dessous :
Distributor ID: Ubuntu Description: Ubuntu 14.04.3 LTS Release: 14.04 Codename: trusty
METTRE À JOUR LE SYSTÈME
Assurez-vous que votre serveur est entièrement à jour :
# apt-get update && apt-get upgrade
Installez maintenant Apache, MySQL, PHP et certains modules nécessaires avec la commande ci-dessous :
# apt-get install mysql-server libmysqlclient-dev mysql-client apache2 php5 libapache2-mod-php5 php5-mysql php5-curl php5-gd php5-intl php-pear php5-imagick php5-imap php5-mcrypt php5-memcache php5-ming php5-ps php5-pspell php5-recode php5-snmp php5-sqlite php5-tidy php5-xmlrpc php5-xsl
INSTALLER OSSEC
Entrez le /opt répertoire :
# cd /opt
Télécharger OSSEC :
# wget https://bintray.com/artifact/download/ossec/ossec-hids/ossec-hids-2.8.3.tar.gz
Décompressez l'archive et entrez le répertoire décompressé :
# tar -xzf ossec-hids-2.8.3.tar.gz # cd ossec-hids-2.8.3
Activez la prise en charge de la base de données MySQL :
# cd src # make setdb
Revenir au répertoire précédent :
# cd ../
Maintenant, démarrez le script d'installation d'OSSEC et suivez les instructions simples :
# ./install.sh
Vous trouverez ci-dessous le résultat de l'intégralité de la procédure d'installation et des fonctionnalités que nous avons activées. Bien sûr, vous choisissez les options à activer/désactiver, mais nous vous recommandons de suivre le résultat ci-dessous. Vous pouvez appuyer sur Entrée si vous souhaitez utiliser le choix par défaut (qui est mis entre parenthèses) pour chaque question posée.
OSSEC HIDS v2.8.3 Installation Script - http://www.ossec.net You are about to start the installation process of the OSSEC HIDS. You must have a C compiler pre-installed in your system. If you have any questions or comments, please send an e-mail to [email protected] (or [email protected]). - System: Linux vps 2.6.32-042stab113.11 - User: root - Host: vps.rosehosting.com -- Press ENTER to continue or Ctrl-C to abort. --
Appuyez sur Entrée.
1- What kind of installation do you want (server, agent, local, hybrid or help)? server
- Server installation chosen.
2- Setting up the installation environment.
- Choose where to install the OSSEC HIDS [/var/ossec]:
- Installation will be made at /var/ossec .
3- Configuring the OSSEC HIDS.
3.1- Do you want e-mail notification? (y/n) [y]:
- What's your e-mail address? [email protected]
- What's your SMTP server ip/host? smtp.example.com
3.2- Do you want to run the integrity check daemon? (y/n) [y]:
- Running syscheck (integrity check daemon).
3.3- Do you want to run the rootkit detection engine? (y/n) [y]:
- Running rootcheck (rootkit detection).
3.4- Active response allows you to execute a specific
command based on the events received. For example,
you can block an IP address or disable access for
a specific user.
More information at:
http://www.ossec.net/en/manual.html#active-response
- Do you want to enable active response? (y/n) [y]:
- Active response enabled.
- By default, we can enable the host-deny and the
firewall-drop responses. The first one will add
a host to the /etc/hosts.deny and the second one
will block the host on iptables (if linux) or on
ipfilter (if Solaris, FreeBSD or NetBSD).
- They can be used to stop SSHD brute force scans,
portscans and some other forms of attacks. You can
also add them to block on snort events, for example.
- Do you want to enable the firewall-drop response? (y/n) [y]:
- firewall-drop enabled (local) for levels >= 6
- Default white list for the active response:
- xxx.xxx.xxx.xx
- xx.xxx.xx.xxx
- Do you want to add more IPs to the white list? (y/n)? [n]:
3.5- Do you want to enable remote syslog (port 514 udp)? (y/n) [y]:
- Remote syslog enabled.
3.6- Setting the configuration to analyze the following logs:
-- /var/log/messages
-- /var/log/auth.log
-- /var/log/syslog
-- /var/log/mail.info
-- /var/log/dpkg.log
-- /var/log/apache2/error.log (apache log)
-- /var/log/apache2/access.log (apache log)
- If you want to monitor any other file, just change
the ossec.conf and add a new localfile entry.
Any questions about the configuration can be answered
by visiting us online at http://www.ossec.net .
--- Press ENTER to continue --- Appuyez maintenant sur Entrée pour continuer l'installation qui ne devrait pas prendre plus de 2 minutes. Une fois que tout est terminé, vous obtiendrez :
- System is Debian (Ubuntu or derivative).
- Init script modified to start OSSEC HIDS during boot.
- Configuration finished properly.
- To start OSSEC HIDS:
/var/ossec/bin/ossec-control start
- To stop OSSEC HIDS:
/var/ossec/bin/ossec-control stop
- The configuration can be viewed or modified at /var/ossec/etc/ossec.conf
Thanks for using the OSSEC HIDS.
If you have any question, suggestion or if you find any bug,
contact us at [email protected] or using our public maillist at
[email protected]
( http://www.ossec.net/main/support/ ).
More information can be found at http://www.ossec.net
--- Press ENTER to finish (maybe more information below). ---
- In order to connect agent and server, you need to add each agent to the server.
Run the 'manage_agents' to add or remove them:
/var/ossec/bin/manage_agents Démarrer l'OSSEC :
# /var/ossec/bin/ossec-control start
L'étape suivante consiste à créer un utilisateur MySQL et une base de données pour OSSEC. Entrez MySQL en tant que root :
# mysql -u root -p mysql> create database ossec; Query OK, 1 row affected (0.00 sec) mysql> grant all privileges on ossec.* to ossecuser@localhost identified by 'your_password'; Query OK, 0 rows affected (0.00 sec) mysql> flush privileges; Query OK, 0 rows affected (0.00 sec) mysql> exit Bye
OSSEC fournit un schéma pour la base de données et il se trouve dans le répertoire src/os_dbd/. Importez-le donc dans votre nouvelle base de données ossec :
# mysql -u ossecuser -p ossec < src/os_dbd/mysql.schema
Entrez le mot de passe ossecuser lorsque vous y êtes invité.
Ajoutez maintenant la configuration de la base de données au fichier de configuration OSSEC :
# nano /var/ossec/etc/ossec.conf
<database_output> <hostname>127.0.0.1</hostname> <username>ossecuser</username> <password>your_password</password> <database>ossec</database> <type>mysql</type> </database_output>
Vous pouvez mettre les lignes ci-dessus n'importe où dans le bloc
# /var/ossec/bin/ossec-control enable database # /var/ossec/bin/ossec-control restart
INSTALLER L'UI WEB OSSEC
Installez l'interface utilisateur Web OSSEC dans la racine du document par défaut d'Apache. Entrez dans le répertoire :
# cd /var/www/html/
Téléchargez la dernière version d'OSSEC WUI et décompressez l'archive :
# wget https://github.com/ossec/ossec-wui/archive/master.zip # unzip master.zip
Renommez le répertoire en ossec :
# mv ossec-wui-master/ ossec/
Créez un répertoire tmp à l'intérieur et définissez la propriété et les autorisations correctes des fichiers :
# mkdir ossec/tmp/ # chown www-data: -R ossec/ # chmod 666 /var/www/html/ossec/tmp
Vous pouvez maintenant accéder à l'interface utilisateur Web en ouvrant votre navigateur Web préféré et en accédant à http://your_server_IP/ossec/
Félicitations, vous avez installé avec succès le serveur OSSEC et son interface utilisateur Web sur un VPS Ubuntu 14.04. Pour plus d'informations, veuillez consulter la documentation approfondie de l'OSSEC.
Dans la deuxième partie de ce didacticiel, nous couvrirons l'installation de l'agent OSSEC sur une autre machine et nous installerons le tableau de bord Web Analogi qui offre une interface meilleure et plus informative par rapport à l'interface utilisateur Web standard.
Bien sûr, vous n'avez rien à faire si vous utilisez l'un de nos services d'hébergement VPS Linux, auquel cas vous pouvez simplement demander à nos administrateurs Linux experts de le faire pour vous. Ils sont disponibles 24h/24 et 7j/7 et prendront immédiatement en charge votre demande.
PS . Si vous avez aimé cet article, partagez-le avec vos amis sur les réseaux sociaux en utilisant les boutons à gauche ou laissez simplement une réponse ci-dessous. Merci.