OSSEC - Instalação e configuração

Publicado por Rick em 21/12/2012

[ Hits: 24.362 ]

Blog: http://www.guiadoti.com

0 0

Denuncie Favoritos Indicar Impressora

OSSEC - Instalação e configuração

O OSSEC é um HIDS que tem muitas funcionalidades, ele tem a capacidade de trabalhar localmente, ou trabalhar em uma rede, como cliente e servidor.

Uma das grandes vantagens dos OSSEC, é que trabalha com Active Response, ou seja, para determinados tipos de ataques, ele pode tomar algumas medidas, como bloquear o IP que está atacando por um determinado tempo e mandar um e- mail alertando sobre o ocorrido.

Vamos à parte mais interessante. Primeiramente, iremos instalá-lo é lógico:

# cd /opt
# wget -cv http://www.ossec.net/files/ossec-hids-2.6.tar.gz
# tar -xvzf ossec-hids-2.6.tar.gz
# cd ossec-hids-2.6
# ./install.sh

No primeiro passo da instalação, escolha o idioma a ser instalado.

Para instalação em português, escolha: [br]
Agora, escolha o modo como ele vai trabalhar, que pode ser local, cliente e servidor. O nosso caso é: Local
Que tipo de instalação você deseja (servidor, cliente, local ou ajuda)? Local
Próximo passo é escolher onde o OSSEC será instalado. Aceite o diretório proposto:
Escolha onde instalar o OSSEC HIDS [/var/ossec]:

Depois, aceitar para receber notificações por e-mail:

Deseja receber notificações por e-mail? (s/n) [s]:
Qual é o seu endereço de e-mail? seu_email@dominio.com.br
Seu servidor SMTP foi encontrado como: smtp.dominio.com.br
Deseja usá-lo? (s/n) [s]:

Em seguida, habilite alguns tipos de checagens:

Deseja habilitar o sistema de verificação de integridade? (s/n) [s]:
Deseja habilitar o sistema de detecção de rootkis? (s/n) [s]:
Deseja habilitar o sistema de respostas automáticas? (s/n) [s]:
Deseja habilitar o firewall-drop? (s/n) [s]:
Deseja adicionar mais algum endereço a essa lista? (s/n)? [n]:

Após isso, o OSSEC será compilado e instalado.

Com OSSEC instalado, pode inciá-lo:

# /etc/init.d/ossec start

Visualize onde o OSSEC está instalado e seu arquivo de configuração principal:

# cd /var/ossec
# ls
# cd etc
# pico ossec.conf

Bem, é isso aí pessoal.

Nos próximos posts irei abordar uma configuração mais aprofundada sobre o OSSEC.

Dica também publicada em:

Guia do TI: Instalando e Configurando o Ossec

Outras dicas deste autor

Controle de banda com HTB-tools

Auditando com Lastcomm

Servidor FTP com ProFTPD - Instalação e configuração

Proxy com WPAD pelo DHCP

Ambiente seguro com chroot

Leitura recomendada

Criando senhas mais difíceis

Quebrando senha de root

Criptografia no Slackware com "truecrypt"

Limitador de conexões para usuários

Spyware Terminator - Antispyware gratuito para uso doméstico / comercial

Comentários

[1] Comentário enviado por villani em 01/03/2013 - 21:56h

Boa noite,

O OSSEC é um sistema de IDS, e qual sistema de IPS (sistema de proteção de intruso) podem usar em conjunto com OSSEC??.

Att.

0 0

[2] Comentário enviado por rick_G em 03/03/2013 - 18:12h

Villani o OSSEC ja tem IPS integrado nele, na hora da instalação vai deve escolher se vai usa-lo ou não.

0 0

[3] Comentário enviado por Macaualy em 17/06/2013 - 08:36h

Como funciona as configurações de HIDS, FIM e ROOTKIT? Você tem conhecimento sobre posts ou tutoriais?

0 0

[4] Comentário enviado por diegodb1 em 02/08/2014 - 15:02h

Alo galera, nao funciona o alerta de email configurei meu email do outlook.com mas da erro smtp, meu ossec está configurado como local

ossec-maild(1223): ERROR: Error Sending email to 207.46.8.167 (smtp server)

esse ip é do hotmail, preciso configurar um smtp server local? nao consegui fazer funcionar assim

ossec_config>
<global>
<email_notification>yes</email_notification>
<email_to>meuemail@outlook.com</email_to>
<smtp_server>mx4.hotmail.com.</smtp_server>
<email_from>ossecm@debian</email_from>
</global>

0 0