Entendendo os tipos de instalação

Antes de instalar a ferramenta, é necessário conhecer os tipos e ordem de instalação da mesma. Os tipos são: local, server e agents.

Quando se deseja monitorar somente uma máquina, como um computador pessoal ou um pequeno servidor, o tipo de instalação escolhida deve ser o local, sendo a sua instalação bem simples e prática de se fazer (passo a passo no item "Instalando"). Entretanto, se o desejo é monitorar um conjunto de máquinas, a instalação local não deve ser escolhida. A melhor opção é instalar o OSSEC em todas as máquinas, escolhendo uma para ser o servidor OSSEC (na instalação escolhe-se a opção server), enquanto as outras serão seus clientes OSSEC, comumente chamadas de agentes (na instalação escolhe-se a opção agent). Neste caso os agentes verificam a integridade de seus arquivos localmente e enviam os resultados a máquina servidor. A ordem de instalação importa somente se o tipo de instalação escolhida for o server/agents.

Como neste tutorial iremos abordar somente o uso da ferramenta em um computador local, não é necessário o entendimento desta etapa. Caso a opção escolhida seja o server/agents, mais informações podem ser encontradas no manual da ferramenta disponível no link:

• http://www.ossec.net/main/manual/manual-installation/manual-installation-types/

Instalando

A instalação do OSSEC é bem simples, basta seguir os passos descritos abaixo. Lembrando que todos os comandos estão sendo executados como root.

Passo 1 - Baixe a última versão do OSSEC e, se quiserem, baixem também seu checksum.

# wget http://www.ossec.net/files/ossec-hids-latest.tar.gz
# wget http://www.ossec.net/files/ossec-hids-latest_sum.txt

Caso não queiram usar o comando wget, o OSSEC pode ser baixado no link:

• http://www.ossec.net/main/downloads/

Notem que, apesar de basearmos esse tutorial no Linux, o OSSEC possui versões para Windows, Mac OSX, FreeBSD, OpenBSD, Solaris, entre outros (http://www.ossec.net/main/supported-systems). Então não tem desculpa para não usá-lo.

Passo 2 - (opcional) - Verifique seu checksum.

# cat ossec-hids-latest_sum.txt
MD5 (ossec-hids-latest.tar.gz) = XXXXXXXX
SHA1 (ossec-hids-latest.tar.gz) = YYYYYYYY
# md5sum ossec-hids-latest.tar.gz
MD5 (ossec-hids-latest.tar.gz) = XXXXXXXX
# sha1sum ossec-hids-latest.tar.gz
SHA1 (ossec-hids-latest.tar.gz) = YYYYYYYY

Se os valores coincidirem, significa que a instalação não veio corrompida, nem modificada (Veja só, estamos verificando a integridade de uma arquivo, é isso que o OSSEC faz para você!).

Passo 3 - Descompacte o arquivo e rode o script "./install.sh".

# tar -zxvf ossec-hids-*.tar.gz
# cd ossec-hids-*
# ./install.sh

Passo 4 - Configurando a instalação:

• Selecione o idioma como "br" (sem aspas);
• Selecione o tipo de instalação (Para o nosso caso vamos escolher "local");
• Para o ambiente de instalação vamos deixar o padrão ("/var/ossec");
• Selecione "s" para receber notificações por e-mail e logo após digite o seu e-mail. Provavelmente ele descobrirá o seu servidor SMTP automaticamente, basta confirmar;
• Habilite o sistema para verificação de integridade ("s");
• Não vamos habilitar o sistema de detecção de rootkit, nem o sistema de resposta automática, por não ser o escopo do tutorial, porém isto fica a seu critério;
• Para iniciar o OSSEC HIDS:
  
  # /var/ossec/bin/ossec-control start
  
  
• Para parar o OSSEC HIDS:
  
  # /var/ossec/bin/ossec-control stop
  
  
• A configuração pode ser vista ou modificada em /var/ossec/etc/ossec.conf

Poderíamos começar a executar o programa agora, pois por padrão ele analisaria a integridade dos diretórios /etc, /usr/bin, /usr/sbin, /bin e /sbin. Porém, primeiro vamos configurá-lo para testar algumas de suas funcionalidades.