OSSEC - Instalação e configuração

Publicado por Rick em 21/12/2012

[ Hits: 17.915 ]

Blog: http://www.guiadoti.com

 


OSSEC - Instalação e configuração



O OSSEC é um HIDS que tem muitas funcionalidades, ele tem a capacidade de trabalhar localmente, ou trabalhar em uma rede, como cliente e servidor.

Uma das grandes vantagens dos OSSEC, é que trabalha com Active Response, ou seja, para determinados tipos de ataques, ele pode tomar algumas medidas, como bloquear o IP que está atacando por um determinado tempo e mandar um e- mail alertando sobre o ocorrido.

Vamos à parte mais interessante. Primeiramente, iremos instalá-lo é lógico:

# cd /opt
# wget -cv
http://www.ossec.net/files/ossec-hids-2.6.tar.gz
# tar -xvzf ossec-hids-2.6.tar.gz
# cd ossec-hids-2.6
# ./install.sh


No primeiro passo da instalação, escolha o idioma a ser instalado.
  1. Para instalação em português, escolha: [br]
  2. Agora, escolha o modo como ele vai trabalhar, que pode ser local, cliente e servidor. O nosso caso é: Local
  3. Que tipo de instalação você deseja (servidor, cliente, local ou ajuda)? Local
  4. Próximo passo é escolher onde o OSSEC será instalado. Aceite o diretório proposto:
  5. Escolha onde instalar o OSSEC HIDS [/var/ossec]:

Depois, aceitar para receber notificações por e-mail:
  1. Deseja receber notificações por e-mail? (s/n) [s]:
  2. Qual é o seu endereço de e-mail? seu_email@dominio.com.br
  3. Seu servidor SMTP foi encontrado como: smtp.dominio.com.br
  4. Deseja usá-lo? (s/n) [s]:

Em seguida, habilite alguns tipos de checagens:
  1. Deseja habilitar o sistema de verificação de integridade? (s/n) [s]:
  2. Deseja habilitar o sistema de detecção de rootkis? (s/n) [s]:
  3. Deseja habilitar o sistema de respostas automáticas? (s/n) [s]:
  4. Deseja habilitar o firewall-drop? (s/n) [s]:
  5. Deseja adicionar mais algum endereço a essa lista? (s/n)? [n]:

Após isso, o OSSEC será compilado e instalado.

Com OSSEC instalado, pode inciá-lo:

# /etc/init.d/ossec start

Visualize onde o OSSEC está instalado e seu arquivo de configuração principal:

# cd /var/ossec
# ls
# cd etc
# pico ossec.conf



Bem, é isso aí pessoal.

Nos próximos posts irei abordar uma configuração mais aprofundada sobre o OSSEC.

Dica também publicada em:
Outras dicas deste autor

Auditando com Snoopy

Controle de banda com HTB-tools

ProFTPD - Enjaulando usuários no diretório HOME

Port knocking - Instalação e configuração

Ambiente seguro com chroot

Leitura recomendada

Como remover a conta "Convidado" do Xubuntu

Mais segurança no Ubuntu Linux - Vídeo

Stay Safe Postcast

A importância de uma senha aleatória

Série de webinars e podcasts sobre Análise Forense Computacional e CHFI

  

Comentários
[1] Comentário enviado por villani em 01/03/2013 - 21:56h

Boa noite,

O OSSEC é um sistema de IDS, e qual sistema de IPS (sistema de proteção de intruso) podem usar em conjunto com OSSEC??.

Att.

[2] Comentário enviado por rick_G em 03/03/2013 - 18:12h

Villani o OSSEC ja tem IPS integrado nele, na hora da instalação vai deve escolher se vai usa-lo ou não.

[3] Comentário enviado por Macaualy em 17/06/2013 - 08:36h

Como funciona as configurações de HIDS, FIM e ROOTKIT? Você tem conhecimento sobre posts ou tutoriais?

[4] Comentário enviado por diegodb1 em 02/08/2014 - 15:02h

Alo galera, nao funciona o alerta de email configurei meu email do outlook.com mas da erro smtp, meu ossec está configurado como local

ossec-maild(1223): ERROR: Error Sending email to 207.46.8.167 (smtp server)

esse ip é do hotmail, preciso configurar um smtp server local? nao consegui fazer funcionar assim

ossec_config>
<global>
<email_notification>yes</email_notification>
<email_to>meuemail@outlook.com</email_to>
<smtp_server>mx4.hotmail.com.</smtp_server>
<email_from>ossecm@debian</email_from>
</global>



Contribuir com comentário