OSSEC - Instalação e configuração

Publicado por Rick em 21/12/2012

[ Hits: 23.456 ]

Blog: http://www.guiadoti.com

0 0

Denuncie Favoritos Indicar Impressora

OSSEC - Instalação e configuração

O OSSEC é um HIDS que tem muitas funcionalidades, ele tem a capacidade de trabalhar localmente, ou trabalhar em uma rede, como cliente e servidor.

Uma das grandes vantagens dos OSSEC, é que trabalha com Active Response, ou seja, para determinados tipos de ataques, ele pode tomar algumas medidas, como bloquear o IP que está atacando por um determinado tempo e mandar um e- mail alertando sobre o ocorrido.

Vamos à parte mais interessante. Primeiramente, iremos instalá-lo é lógico:

# cd /opt
# wget -cv http://www.ossec.net/files/ossec-hids-2.6.tar.gz
# tar -xvzf ossec-hids-2.6.tar.gz
# cd ossec-hids-2.6
# ./install.sh

No primeiro passo da instalação, escolha o idioma a ser instalado.

Para instalação em português, escolha: [br]
Agora, escolha o modo como ele vai trabalhar, que pode ser local, cliente e servidor. O nosso caso é: Local
Que tipo de instalação você deseja (servidor, cliente, local ou ajuda)? Local
Próximo passo é escolher onde o OSSEC será instalado. Aceite o diretório proposto:
Escolha onde instalar o OSSEC HIDS [/var/ossec]:

Depois, aceitar para receber notificações por e-mail:

Deseja receber notificações por e-mail? (s/n) [s]:
Qual é o seu endereço de e-mail? seu_email@dominio.com.br
Seu servidor SMTP foi encontrado como: smtp.dominio.com.br
Deseja usá-lo? (s/n) [s]:

Em seguida, habilite alguns tipos de checagens:

Deseja habilitar o sistema de verificação de integridade? (s/n) [s]:
Deseja habilitar o sistema de detecção de rootkis? (s/n) [s]:
Deseja habilitar o sistema de respostas automáticas? (s/n) [s]:
Deseja habilitar o firewall-drop? (s/n) [s]:
Deseja adicionar mais algum endereço a essa lista? (s/n)? [n]:

Após isso, o OSSEC será compilado e instalado.

Com OSSEC instalado, pode inciá-lo:

# /etc/init.d/ossec start

Visualize onde o OSSEC está instalado e seu arquivo de configuração principal:

# cd /var/ossec
# ls
# cd etc
# pico ossec.conf

Bem, é isso aí pessoal.

Nos próximos posts irei abordar uma configuração mais aprofundada sobre o OSSEC.

Dica também publicada em:

Guia do TI: Instalando e Configurando o Ossec

Outras dicas deste autor

MySQL - Comandos básicos

ProFTPD - Enjaulando usuários no diretório HOME

Nikto - Instalação e utilização

Proxy com WPAD pelo DHCP

Auditando com Snoopy

Leitura recomendada

Criando volumes criptografados

Ferramentas de backup

A segurança maior é o conhecimento...

Dicas valiosas contra worms, trojans e ataques de phishing

Incremente a segurança do BIND (DNS)

Comentários

[1] Comentário enviado por villani em 01/03/2013 - 21:56h

Boa noite,

O OSSEC é um sistema de IDS, e qual sistema de IPS (sistema de proteção de intruso) podem usar em conjunto com OSSEC??.

Att.

0 0

[2] Comentário enviado por rick_G em 03/03/2013 - 18:12h

Villani o OSSEC ja tem IPS integrado nele, na hora da instalação vai deve escolher se vai usa-lo ou não.

0 0

[3] Comentário enviado por Macaualy em 17/06/2013 - 08:36h

Como funciona as configurações de HIDS, FIM e ROOTKIT? Você tem conhecimento sobre posts ou tutoriais?

0 0

[4] Comentário enviado por diegodb1 em 02/08/2014 - 15:02h

Alo galera, nao funciona o alerta de email configurei meu email do outlook.com mas da erro smtp, meu ossec está configurado como local

ossec-maild(1223): ERROR: Error Sending email to 207.46.8.167 (smtp server)

esse ip é do hotmail, preciso configurar um smtp server local? nao consegui fazer funcionar assim

ossec_config>
<global>
<email_notification>yes</email_notification>
<email_to>meuemail@outlook.com</email_to>
<smtp_server>mx4.hotmail.com.</smtp_server>
<email_from>ossecm@debian</email_from>
</global>

0 0