Xen + Debian Wheezy

Posted by Victor Garcia | Posted on 13:15

0

Como habrán leído en las noticias de Debian, ya lanzaron el release candidate de la versión pronta a ser estable Wheezy, con esto se pensara en migrar nuestros ambientes a esta nueva versión, en algunos escenarios algunos administradores pensaran en migrar sus maquinas virtuales para esto instalamos Xen en esta nueva versión para esto realizamos lo siguiente.

Instalamos los paquetes necesarios para preparar el ambiente con Xen.

 #aptitude install xen-linux-system xen-utils-4.1 xen-tools

El paquete xen-linux-system es un paquete virtual, al momento de instalarlo el detecta automáticamente la arquitectura del sistema operativo instalado e instala la versión de xen que sea requerida bien sea amd64, i386, etc.

Con la instalación de xen-utils y xen-tools se instalaran todas las librerías y herramientas necesarias para trabajar cómodamente con xen.
Luego de terminada la instalación debemos reiniciar nuestro servidor para que cargue el kernel de xen instalado anteriormente.

 #reboot

Luego de haber iniciado el sistema operativo, comprobamos el inicio de xen.

 #xm list

podemos encontrarnos con este error, que también lo arroja en la versión anterior de debian squeeze.


WARING! Can't find hypervisor information in sysfs!
Error: Unable to connect to xend: No such file or directory. Is xend
running?

Para esto realizamos el mismo procedimiento de la versión anterior para solucionar este problema y así utilizar xen sin problemas.


 #mv -i /etc/grub.d/10_linux /etc/grub.d/50_linux 
 #update-grub2

Luego de esto reiniciamos el equipo y verificamos el inicio de xen


 #reboot
 #xm list


  Name                                        ID   Mem VCPUs      State   Time(s)
  Domain-0                                     0  2892     8     r-----    292.5


Las configuraciones adicionales las pueden encontrar en mis post anteriores o en la wiki de xen.

http://wiki.xen.org/wiki/Main_Page
http://wiki.debian.org/es/Xen

Ossec (Modo Local) en Debian Squeeze & Wheezy

Posted by Victor Garcia | Posted on 15:20

0


Procedimiento:

Realizar la instalacion de los siguientes paquetes

#aptitude install build-essential

Descargar el paquete de OSSEC de la pagina principal.

#cd /usr/src

Descomprimimos el paquete para comenzar la instalación de OSSEC

#tar xvzf ossec-hids-2.7.tar.gz

Entramos al nuevo directorio
#cd ossec-hids-2.7

Iniciar la instalación.

# sh install.sh

** Para instalação em português, escolha [br].
** 要使用中文进行安装, 请选择 [cn].
** Fur eine deutsche Installation wohlen Sie [de].
** Για εγκατάσταση στα Ελληνικά, επιλέξτε [el].
** For installation in English, choose [en].
** Para instalar en Español , eliga [es].
** Pour une installation en français, choisissez [fr]
** A Magyar nyelvű telepítéshez válassza [hu].
** Per l'installazione in Italiano, scegli [it].
** 日本語でインストールします.選択して下さい.[jp].
** Voor installatie in het Nederlands, kies [nl].
** Aby instalować w języku Polskim, wybierz [pl].
** Для инструкций по установке на русском ,введите [ru].
** Za instalaciju na srpskom, izaberi [sr].
** Türkçe kurulum için seçin [tr].
(en/br/cn/de/el/es/fr/hu/it/jp/nl/pl/ru/sr/tr) [en]:es

OSSEC HIDS v2.7 Guión de instalación - http://www.ossec.net

Usted esta por comenzar el proceso de instalación del OSSEC HIDS.
Usted debe tener un compilador de C previamente instalado en el sistema.
Si usted tiene alguna pregunta o comentario, por favor envié un correo
electrónico a dcid@ossec.net (daniel.cid@gmail.com
)
- Sistema: Linux ossec2 2.6.32-5-xen-amd64
- Usuario: root
- servidor: ossec2


-- Presione ENTER para continuar ó Ctrl-C para abortar. --

1- Que tipo de instalación Usted desea (servidor, agente, local ó ayuda)? Local

- Usted eligió instalación Local.

2- Configurando las variables de entorno de la instalación.

- Eliga donde instalar OSSEC HIDS [/var/ossec]:

3- Configurando el sistema OSSEC HIDS.

3.1- Desea recibir notificación por correo electrónico? (s/n) [s]:
- Cuál es vuestra dirección de correo electrónico? seguridad@cnti.gob.ve
- Cuál es la dirección ó nombre de vuestro servidor de correo SMTP? mail.cnti.gob.ve

3.2- Desea Usted agregar el servidor de integridad del sistema? (s/n) [s]:

- Ejecutando syscheck (servidor de integridad del sistema).

3.3- Desea Usted agregar el sistema de detección de rootkit? (s/n) [s]:

- Ejecutando rootcheck (sistema de detección de rootkit).

3.4- Respuestas activas le permitirán ejecutar un comando
específico en base a los eventos recibidos. Por ejemplo,
Usted podrá bloquear una dirección IP ó deshabilitar el acceso
de un usuario específico.
Más información en:
http://www.ossec.net/en/manual.html#active-response

- Desea Usted habilitar respuesta activa? (s/n) [s]:

- Respuesta activa habilitada.

- Por omisión, podemos habilitar el rechazo de servicio
o el abandono del paquete por medio del Firewall.
El rechazo agregara el ofendedor en el archivo etc/hosts.deny
y el abandono bloqueara la comunicación con el ofendedor en iptables
(si el sistema fuera linux) ó ipfilter (si el sistema fuera
Solaris, FreeBSD or NetBSD).

- Las dos repuestas pueden ser utilizadas para detener un escaneo
de fuerza bruta contra SSHD, escaneo de puertos y otras formas
de ataque. Por ejemplo Usted podra también agregar los ofensores
de acuerdo a eventos registrados por medio de snort.

- Desea Usted habilitar la respuesta desechar en el Firewall? (s/n) [s]:

- Respuesta desechar en el Firewall habilitada (local) para niveles >= 6

- Lista blanca para respuesta activa por omisión:
- 10.8.2.3
- 200.44.32.12

- Desea Usted agregar más IPs a la lista blanca? (s/n)? [n]:

3.6- Estableciendo la configuración para analizar los siguientes registros:
-- /var/log/messages
-- /var/log/auth.log
-- /var/log/syslog
-- /var/log/mail.info
-- /var/log/dpkg.log


- Si Usted deseara monitorear algún otro registro, solo
tendrá que editar el archivo ossec.conf y agregar una
nueva entrada de tipo localfile.
Cualquier otra pregunta de configuración podra ser
respondida visitándonos en linea en http://www.ossec.net .
--- Presione ENTER para continuar ---

.............
make[1]: Warning: File `../Config.Make' has modification time 1.7e+08 s in the future
cp -pr ossec-monitord ../../bin
cp -pr ossec-reportd ../../bin
make[1]: warning: Clock skew detected. Your build may be incomplete.
make[1]: Leaving directory `/usr/src/ossec-hids-2.7/src/monitord'
make[1]: Entering directory `/usr/src/ossec-hids-2.7/src/os_auth'
make[1]: Warning: File `../Config.Make' has modification time 1.7e+08 s in the future
cp -pr ossec-authd ../../bin
cp -pr agent-auth ossec-authd ../../bin
make[1]: warning: Clock skew detected. Your build may be incomplete.
make[1]: Leaving directory `/usr/src/ossec-hids-2.7/src/os_auth'
make: warning: Clock skew detected. Your build may be incomplete.


- El sistema es Debian (Ubuntu or derivative).
- Init script modificado para empezar OSSEC HIDS durante el arranque.

- Configuración finalizada correctamente.

- Para comenzar OSSEC HIDS:
/var/ossec/bin/ossec-control start

- Para detener OSSEC HIDS:
/var/ossec/bin/ossec-control stop

- La configuración puede ser leída ó modificada en /var/ossec/etc/ossec.conf

Gracias por usar OSSEC HIDS.
Si tuviera Usted alguna duda, sugerencia ó haya encontrado
algún desperfecto, contactese con nosotros a contact@ossec.net
ó usando nuestra lista pública de correo en ossec-list@ossec.net
Más información puede ser encontrada en http://www.ossec.net
--- Presione ENTER para finalizar. ---
(Tal vez encuentre más información a continuación).

Ya se encuentra instalado el OSSEC

Para inicializar OSSEC debemos ejecutar el script de control:
# /var/ossec/bin/ossec-control start

Para detenerlo es necesario insertar el siguiente comando:

# /var/ossec/bin/ossec-control stop

Por defecto OSSEC revisa los siguientes archivos de bitácoras

- /var/log/messages
- /var/log/auth.log
- /var/log/syslog
- /var/log/mail.info
- /var/log/dpkg.log

En caso de querer revisar alguna bitácora de algún servicio en especifico como por ejemplo apache, para este servicio debemos realizar lo siguiente.

Editamos el archivo de configuración de OSSEC y agregamos las siguientes lineas.

#vim /var/ossec/etc/ossec.conf

apache
/var/log/apache2/access.log

apache
/var/log/apache2/error.log


Esto en caso de tener el servicio de apache por defecto, en caso de tener varios virtual hosts se deben agregar los logs creados para ellos.

En caso de agregar otras direcciones ip en la lista blanca de OSSEC se debe editar el archivo de configuración y agregar las direcciones en la siguiente sección.

127.0.0.1
^localhost.localdomain$
10.8.2.3
200.44.32.12

Para que estos cambios tengan efecto se debe reiniciar el servicio de OSSEC para ellos lo podemos realizar de la siguiente manera.

#/var/ossec/bin/ossec-control restart


Interfaz Web

Para la instalación de la interfaz web se deben instalar los siguientes paquetes.
#aptitude install apache2 apache2-doc apache2-utils libapache2-mod-php5 php5 php-pear php5-xcache php5-suhosin



Luego de esto descargamos el paquete de la interfaz web de ossec de la pagina principal
#cd /usr/src



Descomprimimos el archivo
#tar -zxvf ossec-wui-0.3.tar.gz



Movemos el archivo a la ruta de apache
#mv ossec-wui-0.3 /var/www/ossec



accedemos a la ruta
#cd /var/www/ossec



Iniciamos la instalación de la interfaz
#./setup.sh



Agregamos nuestro usuario del demonio web al grupo ossec
#adduser www-data ossec



Y arreglamos los permisos del directorio “tmp/”.
#chmod 770 /var/www/ossec/tmp/
#chgrp www-data /var/www/ossec/tmp/



Reiniciamos el servidor web
#/etc/init.d/apache2 restart



Ahora podemos conectarnos a nuestro servidor por un navegador web
http://direccion_ip/ossec