Verificação de integridade de arquivos - Ferramenta OSSEC

Neste tutorial abordaremos uma das funcionalidades da ferramenta de detecção de intruso OSSEC (Open Source Host-based Intrusion Detection System), o Syscheck. O Syscheck é responsável pela verificação da integridade e autenticidade de arquivos. O artigo está divido em três partes, introdução, instalação e configuração.

[ Hits: 34.609 ]

Por: Rafael Rocha em 29/06/2010


Instalando o Ossec



Entendendo os tipos de instalação

Antes de instalar a ferramenta, é necessário conhecer os tipos e ordem de instalação da mesma. Os tipos são: local, server e agents.

Quando se deseja monitorar somente uma máquina, como um computador pessoal ou um pequeno servidor, o tipo de instalação escolhida deve ser o local, sendo a sua instalação bem simples e prática de se fazer (passo a passo no item "Instalando"). Entretanto, se o desejo é monitorar um conjunto de máquinas, a instalação local não deve ser escolhida. A melhor opção é instalar o OSSEC em todas as máquinas, escolhendo uma para ser o servidor OSSEC (na instalação escolhe-se a opção server), enquanto as outras serão seus clientes OSSEC, comumente chamadas de agentes (na instalação escolhe-se a opção agent). Neste caso os agentes verificam a integridade de seus arquivos localmente e enviam os resultados a máquina servidor. A ordem de instalação importa somente se o tipo de instalação escolhida for o server/agents.

Como neste tutorial iremos abordar somente o uso da ferramenta em um computador local, não é necessário o entendimento desta etapa. Caso a opção escolhida seja o server/agents, mais informações podem ser encontradas no manual da ferramenta disponível no link:

Instalando

A instalação do OSSEC é bem simples, basta seguir os passos descritos abaixo. Lembrando que todos os comandos estão sendo executados como root.

Passo 1 - Baixe a última versão do OSSEC e, se quiserem, baixem também seu checksum.

# wget http://www.ossec.net/files/ossec-hids-latest.tar.gz
# wget http://www.ossec.net/files/ossec-hids-latest_sum.txt

Caso não queiram usar o comando wget, o OSSEC pode ser baixado no link:
Notem que, apesar de basearmos esse tutorial no Linux, o OSSEC possui versões para Windows, Mac OSX, FreeBSD, OpenBSD, Solaris, entre outros (http://www.ossec.net/main/supported-systems). Então não tem desculpa para não usá-lo.

Passo 2 - (opcional) - Verifique seu checksum.

# cat ossec-hids-latest_sum.txt
MD5 (ossec-hids-latest.tar.gz) = XXXXXXXX
SHA1 (ossec-hids-latest.tar.gz) = YYYYYYYY
# md5sum ossec-hids-latest.tar.gz
MD5 (ossec-hids-latest.tar.gz) = XXXXXXXX
# sha1sum ossec-hids-latest.tar.gz
SHA1 (ossec-hids-latest.tar.gz) = YYYYYYYY

Se os valores coincidirem, significa que a instalação não veio corrompida, nem modificada (Veja só, estamos verificando a integridade de uma arquivo, é isso que o OSSEC faz para você!).

Passo 3 - Descompacte o arquivo e rode o script "./install.sh".

# tar -zxvf ossec-hids-*.tar.gz
# cd ossec-hids-*
# ./install.sh


Passo 4 - Configurando a instalação:
  • Selecione o idioma como "br" (sem aspas);
  • Selecione o tipo de instalação (Para o nosso caso vamos escolher "local");
  • Para o ambiente de instalação vamos deixar o padrão ("/var/ossec");
  • Selecione "s" para receber notificações por e-mail e logo após digite o seu e-mail. Provavelmente ele descobrirá o seu servidor SMTP automaticamente, basta confirmar;
  • Habilite o sistema para verificação de integridade ("s");
  • Não vamos habilitar o sistema de detecção de rootkit, nem o sistema de resposta automática, por não ser o escopo do tutorial, porém isto fica a seu critério;
  • Para iniciar o OSSEC HIDS:

    # /var/ossec/bin/ossec-control start

  • Para parar o OSSEC HIDS:

    # /var/ossec/bin/ossec-control stop

  • A configuração pode ser vista ou modificada em /var/ossec/etc/ossec.conf

Poderíamos começar a executar o programa agora, pois por padrão ele analisaria a integridade dos diretórios /etc, /usr/bin, /usr/sbin, /bin e /sbin. Porém, primeiro vamos configurá-lo para testar algumas de suas funcionalidades.

Página anterior     Próxima página

Páginas do artigo
   1. Introdução
   2. Instalando o Ossec
   3. Configuração do Syscheck
Outros artigos deste autor
Nenhum artigo encontrado.
Leitura recomendada

Blindando sua rede com o HLBR - Um IPS invisível e brasileiro

Desvendando código malicioso no fórum Viva o Linux

Single Honeypot

Análise Forense - Aspectos de perícia criminal

Sudoers 1.8.12 - Parte IV - Manual

  
Comentários
[1] Comentário enviado por jeferson_roseira em 29/06/2010 - 13:26h

Prabéns pelo artigo.

Muito bom o conteúdo, gostei também dos exemplos.

att.

Jeferson Roseira

[2] Comentário enviado por Dombom em 01/07/2010 - 04:14h

Parabéns, muito bom artigo

[3] Comentário enviado por Roberto Ramos em 31/05/2012 - 16:16h

Rafael,

instalei o ossec para ver como ele funcionava mais gostaria de removelo, vc saberia me informar como procedo, ja pesquisei bastante no google e até o momento nada, vou continuar procurando, de antemão deixo aqui meu agradecimento.

[4] Comentário enviado por jtdest em 05/03/2015 - 19:41h


Ola blz,tenho uma duvida , pretendo implanta ossec na minha rede , mais a distribuição dos IPS das maquinas clientes e feita através do DHCP server , como adciona as maquinas cliente no servidor ossec, sendo que os IPS Sao dinamicamente distribuídos , pra melhor como funciona ossec sobre DHCP, por favor se pode me ajudar agradeço.


Contribuir com comentário