Ossec (Modo Local) en Debian Squeeze & Wheezy

Posted by Unknown | Posted on 15:20


Procedimiento:

Realizar la instalacion de los siguientes paquetes

#aptitude install build-essential

Descargar el paquete de OSSEC de la pagina principal.

#cd /usr/src

Descomprimimos el paquete para comenzar la instalación de OSSEC

#tar xvzf ossec-hids-2.7.tar.gz

Entramos al nuevo directorio
#cd ossec-hids-2.7

Iniciar la instalación.

# sh install.sh

** Para instalação em português, escolha [br].
** 要使用中文进行安装, 请选择 [cn].
** Fur eine deutsche Installation wohlen Sie [de].
** Για εγκατάσταση στα Ελληνικά, επιλέξτε [el].
** For installation in English, choose [en].
** Para instalar en Español , eliga [es].
** Pour une installation en français, choisissez [fr]
** A Magyar nyelvű telepítéshez válassza [hu].
** Per l'installazione in Italiano, scegli [it].
** 日本語でインストールします.選択して下さい.[jp].
** Voor installatie in het Nederlands, kies [nl].
** Aby instalować w języku Polskim, wybierz [pl].
** Для инструкций по установке на русском ,введите [ru].
** Za instalaciju na srpskom, izaberi [sr].
** Türkçe kurulum için seçin [tr].
(en/br/cn/de/el/es/fr/hu/it/jp/nl/pl/ru/sr/tr) [en]:es

OSSEC HIDS v2.7 Guión de instalación - http://www.ossec.net

Usted esta por comenzar el proceso de instalación del OSSEC HIDS.
Usted debe tener un compilador de C previamente instalado en el sistema.
Si usted tiene alguna pregunta o comentario, por favor envié un correo
electrónico a dcid@ossec.net (daniel.cid@gmail.com
)
- Sistema: Linux ossec2 2.6.32-5-xen-amd64
- Usuario: root
- servidor: ossec2


-- Presione ENTER para continuar ó Ctrl-C para abortar. --

1- Que tipo de instalación Usted desea (servidor, agente, local ó ayuda)? Local

- Usted eligió instalación Local.

2- Configurando las variables de entorno de la instalación.

- Eliga donde instalar OSSEC HIDS [/var/ossec]:

3- Configurando el sistema OSSEC HIDS.

3.1- Desea recibir notificación por correo electrónico? (s/n) [s]:
- Cuál es vuestra dirección de correo electrónico? seguridad@cnti.gob.ve
- Cuál es la dirección ó nombre de vuestro servidor de correo SMTP? mail.cnti.gob.ve

3.2- Desea Usted agregar el servidor de integridad del sistema? (s/n) [s]:

- Ejecutando syscheck (servidor de integridad del sistema).

3.3- Desea Usted agregar el sistema de detección de rootkit? (s/n) [s]:

- Ejecutando rootcheck (sistema de detección de rootkit).

3.4- Respuestas activas le permitirán ejecutar un comando
específico en base a los eventos recibidos. Por ejemplo,
Usted podrá bloquear una dirección IP ó deshabilitar el acceso
de un usuario específico.
Más información en:
http://www.ossec.net/en/manual.html#active-response

- Desea Usted habilitar respuesta activa? (s/n) [s]:

- Respuesta activa habilitada.

- Por omisión, podemos habilitar el rechazo de servicio
o el abandono del paquete por medio del Firewall.
El rechazo agregara el ofendedor en el archivo etc/hosts.deny
y el abandono bloqueara la comunicación con el ofendedor en iptables
(si el sistema fuera linux) ó ipfilter (si el sistema fuera
Solaris, FreeBSD or NetBSD).

- Las dos repuestas pueden ser utilizadas para detener un escaneo
de fuerza bruta contra SSHD, escaneo de puertos y otras formas
de ataque. Por ejemplo Usted podra también agregar los ofensores
de acuerdo a eventos registrados por medio de snort.

- Desea Usted habilitar la respuesta desechar en el Firewall? (s/n) [s]:

- Respuesta desechar en el Firewall habilitada (local) para niveles >= 6

- Lista blanca para respuesta activa por omisión:
- 10.8.2.3
- 200.44.32.12

- Desea Usted agregar más IPs a la lista blanca? (s/n)? [n]:

3.6- Estableciendo la configuración para analizar los siguientes registros:
-- /var/log/messages
-- /var/log/auth.log
-- /var/log/syslog
-- /var/log/mail.info
-- /var/log/dpkg.log


- Si Usted deseara monitorear algún otro registro, solo
tendrá que editar el archivo ossec.conf y agregar una
nueva entrada de tipo localfile.
Cualquier otra pregunta de configuración podra ser
respondida visitándonos en linea en http://www.ossec.net .
--- Presione ENTER para continuar ---

.............
make[1]: Warning: File `../Config.Make' has modification time 1.7e+08 s in the future
cp -pr ossec-monitord ../../bin
cp -pr ossec-reportd ../../bin
make[1]: warning: Clock skew detected. Your build may be incomplete.
make[1]: Leaving directory `/usr/src/ossec-hids-2.7/src/monitord'
make[1]: Entering directory `/usr/src/ossec-hids-2.7/src/os_auth'
make[1]: Warning: File `../Config.Make' has modification time 1.7e+08 s in the future
cp -pr ossec-authd ../../bin
cp -pr agent-auth ossec-authd ../../bin
make[1]: warning: Clock skew detected. Your build may be incomplete.
make[1]: Leaving directory `/usr/src/ossec-hids-2.7/src/os_auth'
make: warning: Clock skew detected. Your build may be incomplete.


- El sistema es Debian (Ubuntu or derivative).
- Init script modificado para empezar OSSEC HIDS durante el arranque.

- Configuración finalizada correctamente.

- Para comenzar OSSEC HIDS:
/var/ossec/bin/ossec-control start

- Para detener OSSEC HIDS:
/var/ossec/bin/ossec-control stop

- La configuración puede ser leída ó modificada en /var/ossec/etc/ossec.conf

Gracias por usar OSSEC HIDS.
Si tuviera Usted alguna duda, sugerencia ó haya encontrado
algún desperfecto, contactese con nosotros a contact@ossec.net
ó usando nuestra lista pública de correo en ossec-list@ossec.net
Más información puede ser encontrada en http://www.ossec.net
--- Presione ENTER para finalizar. ---
(Tal vez encuentre más información a continuación).

Ya se encuentra instalado el OSSEC

Para inicializar OSSEC debemos ejecutar el script de control:
# /var/ossec/bin/ossec-control start

Para detenerlo es necesario insertar el siguiente comando:

# /var/ossec/bin/ossec-control stop

Por defecto OSSEC revisa los siguientes archivos de bitácoras

- /var/log/messages
- /var/log/auth.log
- /var/log/syslog
- /var/log/mail.info
- /var/log/dpkg.log

En caso de querer revisar alguna bitácora de algún servicio en especifico como por ejemplo apache, para este servicio debemos realizar lo siguiente.

Editamos el archivo de configuración de OSSEC y agregamos las siguientes lineas.

#vim /var/ossec/etc/ossec.conf

apache
/var/log/apache2/access.log

apache
/var/log/apache2/error.log


Esto en caso de tener el servicio de apache por defecto, en caso de tener varios virtual hosts se deben agregar los logs creados para ellos.

En caso de agregar otras direcciones ip en la lista blanca de OSSEC se debe editar el archivo de configuración y agregar las direcciones en la siguiente sección.

127.0.0.1
^localhost.localdomain$
10.8.2.3
200.44.32.12

Para que estos cambios tengan efecto se debe reiniciar el servicio de OSSEC para ellos lo podemos realizar de la siguiente manera.

#/var/ossec/bin/ossec-control restart


Interfaz Web

Para la instalación de la interfaz web se deben instalar los siguientes paquetes.
#aptitude install apache2 apache2-doc apache2-utils libapache2-mod-php5 php5 php-pear php5-xcache php5-suhosin



Luego de esto descargamos el paquete de la interfaz web de ossec de la pagina principal
#cd /usr/src



Descomprimimos el archivo
#tar -zxvf ossec-wui-0.3.tar.gz



Movemos el archivo a la ruta de apache
#mv ossec-wui-0.3 /var/www/ossec



accedemos a la ruta
#cd /var/www/ossec



Iniciamos la instalación de la interfaz
#./setup.sh



Agregamos nuestro usuario del demonio web al grupo ossec
#adduser www-data ossec



Y arreglamos los permisos del directorio “tmp/”.
#chmod 770 /var/www/ossec/tmp/
#chgrp www-data /var/www/ossec/tmp/



Reiniciamos el servidor web
#/etc/init.d/apache2 restart



Ahora podemos conectarnos a nuestro servidor por un navegador web
http://direccion_ip/ossec

Comments (0)

Publicar un comentario

Suscribirse a: Enviar comentarios (Atom)