Comment installer OSSEC sur Ubuntu 14.04

Dans ce didacticiel, nous allons vous montrer comment installer et configurer OSSEC sur Ubuntu 14.04. Pour ceux d'entre vous qui ne le savaient pas, OSSEC est une intrusion gratuite et open source basée sur l'hôte système de détection d'intrusion (HIDS). Il effectue l'analyse des journaux, la vérification de l'intégrité, la surveillance du registre Windows, la détection des rootkits, l'alerte basée sur le temps et la réponse active. Il fournit une détection d'intrusion pour la plupart des systèmes d'exploitation, y compris Linux, OpenBSD, FreeBSD, Mac OS X, Solaris et Windows. OSSEC dispose d'une architecture multiplateforme centralisée permettant de surveiller et de gérer facilement plusieurs systèmes.

Cet article suppose que vous avez au moins des connaissances de base sur Linux, que vous savez utiliser le shell et, plus important encore, que vous hébergez votre site sur votre propre VPS. L'installation est assez simple et suppose que vous s'exécutent dans le compte root, sinon vous devrez peut-être ajouter 'sudo ‘ aux commandes pour obtenir les privilèges root. Je vais vous montrer l'installation pas à pas d'OSSEC sur un serveur Ubuntu 14.04.

Prérequis

• Un serveur exécutant l'un des systèmes d'exploitation suivants :Ubuntu 14.04 et toute autre distribution basée sur Debian comme Linux Mint.
• Il est recommandé d'utiliser une nouvelle installation du système d'exploitation pour éviter tout problème potentiel.
• Accès SSH au serveur (ou ouvrez simplement Terminal si vous êtes sur un ordinateur).
• Un non-root sudo user ou l'accès à l'root user . Nous vous recommandons d'agir en tant qu'non-root sudo user , cependant, car vous pouvez endommager votre système si vous ne faites pas attention lorsque vous agissez en tant que root.

Installer OSSEC sur Ubuntu 14.04

Étape 1. Tout d'abord, assurez-vous que tous vos packages système sont à jour en exécutant le suivant apt-get commandes dans le terminal.

sudo apt-get update
sudo apt-get upgrade

Étape 2. Installez le serveur LAMP (Linux, Apache, MariaDB, PHP).

Un serveur Ubuntu 14.04 LAMP est requis. Si vous n'avez pas installé LAMP, vous pouvez suivre notre guide ici.

Étape 3. Installation d'OSSEC.

La première chose à faire est d'aller sur la page de téléchargement d'OSSEC et de télécharger la dernière version stable d'OSSEC, Au moment de la rédaction de cet article, il s'agit de la version 2.8.3 :

wget https://bintray.com/artifact/download/ossec/ossec-hids/ossec-hids-2.8.3.tar.gz

Décompressez l'archive OSSEC dans le répertoire racine du document sur votre serveur :

tar -xzf ossec-hids-2.8.3.tar.gz
cd ossec-hids-2.8.3
cd src
make setdb

Revenir au répertoire précédent :

cd ../
./install.sh

Vous pouvez choisir les options à activer/désactiver, mais nous vous recommandons de suivre le résultat ci-dessous. Vous pouvez appuyer sur Entrée si vous souhaitez utiliser le choix par défaut ( qui est mis entre parenthèses) pour chaque question posée :

OSSEC HIDS v2.8.3 Installation Script - http://www.ossec.net

 You are about to start the installation process of the OSSEC HIDS.
 You must have a C compiler pre-installed in your system.
 If you have any questions or comments, please send an e-mail
 to [email protected] (or [email protected]).

  - System: Linux vps 2.6.32-042stab113.11
  - User: root
  - Host: vps.idroot.us

  -- Press ENTER to continue or Ctrl-C to abort. --

Appuyez sur Entrée.

1- What kind of installation do you want (server, agent, local, hybrid or help)? server

  - Server installation chosen.

2- Setting up the installation environment.

 - Choose where to install the OSSEC HIDS [/var/ossec]:

    - Installation will be made at  /var/ossec .

3- Configuring the OSSEC HIDS.

  3.1- Do you want e-mail notification? (y/n) [y]:

   - What's your e-mail address? [email protected]
   - What's your SMTP server ip/host? smtp.example.com

  3.2- Do you want to run the integrity check daemon? (y/n) [y]:

   - Running syscheck (integrity check daemon).

  3.3- Do you want to run the rootkit detection engine? (y/n) [y]:

   - Running rootcheck (rootkit detection).

  3.4- Active response allows you to execute a specific
       command based on the events received. For example,
       you can block an IP address or disable access for
       a specific user.
       More information at:
       http://www.ossec.net/en/manual.html#active-response

   - Do you want to enable active response? (y/n) [y]:

     - Active response enabled.

   - By default, we can enable the host-deny and the
     firewall-drop responses. The first one will add
     a host to the /etc/hosts.deny and the second one
     will block the host on iptables (if linux) or on
     ipfilter (if Solaris, FreeBSD or NetBSD).
   - They can be used to stop SSHD brute force scans,
     portscans and some other forms of attacks. You can
     also add them to block on snort events, for example.

   - Do you want to enable the firewall-drop response? (y/n) [y]:

     - firewall-drop enabled (local) for levels >= 6

   - Default white list for the active response:
      - xxx.xxx.xxx.xx
      - xx.xxx.xx.xxx

   - Do you want to add more IPs to the white list? (y/n)? [n]:

  3.5- Do you want to enable remote syslog (port 514 udp)? (y/n) [y]:

   - Remote syslog enabled.

  3.6- Setting the configuration to analyze the following logs:
    -- /var/log/messages
    -- /var/log/auth.log
    -- /var/log/syslog
    -- /var/log/mail.info
    -- /var/log/dpkg.log
    -- /var/log/apache2/error.log (apache log)
    -- /var/log/apache2/access.log (apache log)

 - If you want to monitor any other file, just change
   the ossec.conf and add a new localfile entry.
   Any questions about the configuration can be answered
   by visiting us online at http://www.ossec.net .

   --- Press ENTER to continue ---

Ensuite, appuyez sur Entrée pour continuer l'installation qui ne devrait pas prendre plus de 3 minutes. Une fois que tout est terminé, vous obtiendrez :

- System is Debian (Ubuntu or derivative).
 - Init script modified to start OSSEC HIDS during boot.

 - Configuration finished properly.

 - To start OSSEC HIDS:
                /var/ossec/bin/ossec-control start

 - To stop OSSEC HIDS:
                /var/ossec/bin/ossec-control stop

 - The configuration can be viewed or modified at /var/ossec/etc/ossec.conf

    Thanks for using the OSSEC HIDS.
    If you have any question, suggestion or if you find any bug,
    contact us at [email protected] or using our public maillist at
    [email protected]
    ( http://www.ossec.net/main/support/ ).

    More information can be found at http://www.ossec.net

    ---  Press ENTER to finish (maybe more information below). ---

    - In order to connect agent and server, you need to add each agent to the server.
   Run the 'manage_agents' to add or remove them:

   /var/ossec/bin/manage_agents

Démarrer OSSEC :

/var/ossec/bin/ossec-control start

Étape 4. Configuration de MariaDB pour OSSEC.

Par défaut, MariaDB n'est pas renforcée. Vous pouvez sécuriser MariaDB à l'aide de mysql_secure_installation scénario. vous devez lire attentivement et en dessous de chaque étape qui définira un mot de passe root, supprimera les utilisateurs anonymes, interdira la connexion root à distance et supprimera la base de données de test et l'accès à MariaDB sécurisé :

mysql_secure_installation

Configurez-le comme ceci :

- Set root password? [Y/n] y
- Remove anonymous users? [Y/n] y
- Disallow root login remotely? [Y/n] y
- Remove test database and access to it? [Y/n] y
- Reload privilege tables now? [Y/n] y

Ensuite, nous devrons nous connecter à la console MariaDB et créer une base de données pour l'OSSEC. Exécutez la commande suivante :

mysql -u root -p

Cela vous demandera un mot de passe, alors entrez votre mot de passe root MariaDB et appuyez sur Entrée. Une fois que vous êtes connecté à votre serveur de base de données, vous devez créer une base de données pour Installation de l'OSSEC :

create database ossec;
grant all privileges on ossec.* to ossecuser@localhost identified by 'your_password';
flush privileges;
exit

Par défaut, OSSEC fournit un schéma pour la base de données et il se trouve dans le répertoire src/os_dbd/. Importez-le dans votre nouvelle base de données oOSSECssec :

mysql -u ossecuser -p ossec < src/os_dbd/mysql.schema

Ajoutez maintenant la configuration de la base de données au fichier de configuration OSSEC :

nano /var/ossec/etc/ossec.conf

Vous pouvez placer les lignes ci-dessus n'importe où dans le bloc  :

<database_output>
        <hostname>127.0.0.1</hostname>
        <username>ossecuser</username>
        <password>your_password</password>
        <database>ossec</database>
        <type>mysql</type>
</database_output>

Enregistrez et quittez le fichier. Ensuite, activez la base de données et redémarrez OSSEC :

/var/ossec/bin/ossec-control enable database
/var/ossec/bin/ossec-control restart

Étape 5. Installation de l'interface utilisateur Web OSSEC.

Installez l'interface utilisateur Web OSSEC dans la racine du document par défaut d'Apache. Entrez le répertoire :

cd /var/www/html/
wget https://github.com/ossec/ossec-wui/archive/master.zip
unzip master.zip
mv ossec-wui-master/ ossec/

Créer un tmp le répertoire à l'intérieur et définissez la propriété et les autorisations du fichier correct :

mkdir ossec/tmp/
chown www-data: -R ossec/
chmod 666 /var/www/html/ossec/tmp

Étape 6. Accéder à OSSEC.

OSSEC sera disponible sur le port HTTP 80 par défaut. Ouvrez votre navigateur préféré et accédez à http://yourdomain.com/ossec ou http://server-ip/ossec . Si vous utilisez un pare-feu, veuillez ouvrir le port 80 pour permettre l'accès au panneau de contrôle.

Félicitations ! Vous avez installé OSSEC avec succès. Merci d'avoir utilisé ce didacticiel pour installer OSSEC sur le système Ubuntu 14.04. Pour obtenir de l'aide supplémentaire ou des informations utiles, nous vous recommandons de consulter le site Web officiel d'OSSEC.