OSSEC - Instalação e configuração
O
OSSEC é um HIDS que tem muitas funcionalidades, ele tem a capacidade de trabalhar localmente, ou trabalhar em uma rede, como cliente e servidor.
Uma das grandes vantagens dos OSSEC, é que trabalha com
Active Response , ou seja, para determinados tipos de ataques, ele pode tomar algumas medidas, como bloquear o IP que está atacando por um determinado tempo e mandar um e- mail alertando sobre o ocorrido.
Vamos à parte mais interessante. Primeiramente, iremos instalá-lo é lógico:
# cd /opt
# wget -cv http://www.ossec.net/files/ossec-hids-2.6.tar.gz
# tar -xvzf ossec-hids-2.6.tar.gz
# cd ossec-hids-2.6
# ./install.sh
No primeiro passo da instalação, escolha o idioma a ser instalado.
Para instalação em português, escolha: [br]
Agora, escolha o modo como ele vai trabalhar, que pode ser local, cliente e servidor. O nosso caso é: Local
Que tipo de instalação você deseja (servidor, cliente, local ou ajuda)? Local
Próximo passo é escolher onde o OSSEC será instalado. Aceite o diretório proposto:
Escolha onde instalar o OSSEC HIDS [/var/ossec]:
Depois, aceitar para receber notificações por e-mail:
Deseja receber notificações por e-mail? (s/n) [s]:
Qual é o seu endereço de e-mail? seu_email@dominio.com.br
Seu servidor SMTP foi encontrado como: smtp.dominio.com.br
Deseja usá-lo? (s/n) [s]:
Em seguida, habilite alguns tipos de checagens:
Deseja habilitar o sistema de verificação de integridade? (s/n) [s]:
Deseja habilitar o sistema de detecção de rootkis? (s/n) [s]:
Deseja habilitar o sistema de respostas automáticas? (s/n) [s]:
Deseja habilitar o firewall-drop? (s/n) [s]:
Deseja adicionar mais algum endereço a essa lista? (s/n)? [n]:
Após isso, o OSSEC será compilado e instalado.
Com OSSEC instalado, pode inciá-lo:
# /etc/init.d/ossec start
Visualize onde o OSSEC está instalado e seu arquivo de configuração principal:
# cd /var/ossec
# ls
# cd etc
# pico ossec.conf
Bem, é isso aí pessoal.
Nos próximos posts irei abordar uma configuração mais aprofundada sobre o OSSEC.
Dica também publicada em:
Outras dicas deste autor
Controle de banda com HTB-tools
Proxy com WPAD pelo DHCP
Servidor FTP com ProFTPD - Instalação e configuração
Port knocking - Instalação e configuração
Auditando com Snoopy
Leitura recomendada
KeePassX - Proteção para suas senhas
Conheça o BackBox Linux! Mais uma distribuição para "penetration tests"
Wow! My DNS is POOR! Vulnerabilidade do DNS (CVE-2008-1447)
NetGrok, uma ótima ferramenta para monitoramento
BLOG SEGINFO - Notícias, artigos e inovação em tecnologia e segurança da informação
Comentários
Boa noite,
O OSSEC é um sistema de IDS, e qual sistema de IPS (sistema de proteção de intruso) podem usar em conjunto com OSSEC??.
Att.
Villani o OSSEC ja tem IPS integrado nele, na hora da instalação vai deve escolher se vai usa-lo ou não.
Mensagem
Villani o OSSEC ja tem IPS integrado nele, na hora da instalação vai deve escolher se vai usa-lo ou não.
Como funciona as configurações de HIDS, FIM e ROOTKIT? Você tem conhecimento sobre posts ou tutoriais?
Mensagem
Como funciona as configurações de HIDS, FIM e ROOTKIT? Você tem conhecimento sobre posts ou tutoriais?
Alo galera, nao funciona o alerta de email configurei meu email do outlook.com mas da erro smtp, meu ossec está configurado como local
ossec-maild(1223): ERROR: Error Sending email to 207.46.8.167 (smtp server)
esse ip é do hotmail, preciso configurar um smtp server local? nao consegui fazer funcionar assim
ossec_config>
<global>
<email_notification>yes</email_notification>
<email_to>meuemail@outlook.com</email_to>
<smtp_server>mx4.hotmail.com.</smtp_server>
<email_from>ossecm@debian</email_from>
</global>
Mensagem
Alo galera, nao funciona o alerta de email configurei meu email do outlook.com mas da erro smtp, meu ossec está configurado como local
ossec-maild(1223): ERROR: Error Sending email to 207.46.8.167 (smtp server)
esse ip é do hotmail, preciso configurar um smtp server local? nao consegui fazer funcionar assim
ossec_config>
<global>
<email_notification>yes</email_notification>
<email_to>meuemail@outlook.com</email_to>
<smtp_server>mx4.hotmail.com.</smtp_server>
<email_from>ossecm@debian</email_from>
</global>
Contribuir com comentário
Enviar