Procedimiento:
Realizar
la instalacion de los siguientes paquetes
#aptitude
install build-essential
Descargar
el paquete de OSSEC de la pagina principal.
#cd
/usr/src
Descomprimimos
el paquete para comenzar la instalación de OSSEC
#tar
xvzf ossec-hids-2.7.tar.gz
Entramos
al nuevo directorio
#cd
ossec-hids-2.7
Iniciar
la instalación.
#
sh install.sh
**
Para instalação em português, escolha [br].
**
要使用中文进行安装,
请选择
[cn].
**
Fur eine deutsche Installation wohlen Sie [de].
**
Για εγκατάσταση στα Ελληνικά, επιλέξτε
[el].
**
For installation in English, choose [en].
**
Para instalar en Español , eliga [es].
**
Pour une installation en français, choisissez [fr]
**
A Magyar nyelvű telepítéshez válassza [hu].
**
Per l'installazione in Italiano, scegli [it].
**
日本語でインストールします.選択して下さい.[jp].
**
Voor installatie in het Nederlands, kies [nl].
**
Aby instalować w języku Polskim, wybierz [pl].
**
Для инструкций по установке на русском
,введите [ru].
**
Za instalaciju na srpskom, izaberi [sr].
**
Türkçe kurulum için seçin [tr].
(en/br/cn/de/el/es/fr/hu/it/jp/nl/pl/ru/sr/tr)
[en]:es
OSSEC
HIDS v2.7 Guión de instalación - http://www.ossec.net
Usted
esta por comenzar el proceso de instalación del OSSEC HIDS.
Usted
debe tener un compilador de C previamente instalado en el sistema.
Si
usted tiene alguna pregunta o comentario, por favor envié un correo
electrónico
a dcid@ossec.net (daniel.cid@gmail.com
)
-
Sistema: Linux ossec2 2.6.32-5-xen-amd64
-
Usuario: root
-
servidor: ossec2
--
Presione ENTER para continuar ó Ctrl-C para abortar. --
1-
Que tipo de instalación Usted desea (servidor, agente, local ó
ayuda)? Local
-
Usted eligió instalación Local.
2-
Configurando las variables de entorno de la instalación.
-
Eliga donde instalar OSSEC HIDS [/var/ossec]:
3-
Configurando el sistema OSSEC HIDS.
3.1-
Desea recibir notificación por correo electrónico? (s/n) [s]:
-
Cuál es la dirección ó nombre de vuestro servidor de correo SMTP?
mail.cnti.gob.ve
3.2-
Desea Usted agregar el servidor de integridad del sistema? (s/n) [s]:
-
Ejecutando syscheck (servidor de integridad del sistema).
3.3-
Desea Usted agregar el sistema de detección de rootkit? (s/n) [s]:
-
Ejecutando rootcheck (sistema de detección de rootkit).
3.4-
Respuestas activas le permitirán ejecutar un comando
específico
en base a los eventos recibidos. Por ejemplo,
Usted
podrá bloquear una dirección IP ó deshabilitar el acceso
de
un usuario específico.
Más
información en:
http://www.ossec.net/en/manual.html#active-response
-
Desea Usted habilitar respuesta activa? (s/n) [s]:
-
Respuesta activa habilitada.
-
Por omisión, podemos habilitar el rechazo de servicio
o
el abandono del paquete por medio del Firewall.
El
rechazo agregara el ofendedor en el archivo etc/hosts.deny
y
el abandono bloqueara la comunicación con el ofendedor en iptables
(si
el sistema fuera linux) ó ipfilter (si el sistema fuera
Solaris,
FreeBSD or NetBSD).
-
Las dos repuestas pueden ser utilizadas para detener un escaneo
de
fuerza bruta contra SSHD, escaneo de puertos y otras formas
de
ataque. Por ejemplo Usted podra también agregar los ofensores
de
acuerdo a eventos registrados por medio de snort.
-
Desea Usted habilitar la respuesta desechar en el Firewall? (s/n)
[s]:
-
Respuesta desechar en el Firewall habilitada (local) para niveles >=
6
-
Lista blanca para respuesta activa por omisión:
-
10.8.2.3
-
200.44.32.12
-
Desea Usted agregar más IPs a la lista blanca? (s/n)? [n]:
3.6-
Estableciendo la configuración para analizar los siguientes
registros:
--
/var/log/messages
--
/var/log/auth.log
--
/var/log/syslog
--
/var/log/mail.info
--
/var/log/dpkg.log
-
Si Usted deseara monitorear algún otro registro, solo
tendrá
que editar el archivo ossec.conf y agregar una
nueva
entrada de tipo localfile.
Cualquier
otra pregunta de configuración podra ser
respondida
visitándonos en linea en http://www.ossec.net .
---
Presione ENTER para continuar ---
.............
make[1]:
Warning: File `../Config.Make' has modification time 1.7e+08 s in the
future
cp
-pr ossec-monitord ../../bin
cp
-pr ossec-reportd ../../bin
make[1]:
warning: Clock skew detected. Your build may be incomplete.
make[1]:
Leaving directory `/usr/src/ossec-hids-2.7/src/monitord'
make[1]:
Entering directory `/usr/src/ossec-hids-2.7/src/os_auth'
make[1]:
Warning: File `../Config.Make' has modification time 1.7e+08 s in the
future
cp
-pr ossec-authd ../../bin
cp
-pr agent-auth ossec-authd ../../bin
make[1]:
warning: Clock skew detected. Your build may be incomplete.
make[1]:
Leaving directory `/usr/src/ossec-hids-2.7/src/os_auth'
make:
warning: Clock skew detected. Your build may be incomplete.
-
El sistema es Debian (Ubuntu or derivative).
-
Init script modificado para empezar OSSEC HIDS durante el arranque.
-
Configuración finalizada correctamente.
-
Para comenzar OSSEC HIDS:
/var/ossec/bin/ossec-control
start
-
Para detener OSSEC HIDS:
/var/ossec/bin/ossec-control
stop
-
La configuración puede ser leída ó modificada en
/var/ossec/etc/ossec.conf
Gracias
por usar OSSEC HIDS.
Si
tuviera Usted alguna duda, sugerencia ó haya encontrado
algún
desperfecto, contactese con nosotros a contact@ossec.net
ó
usando nuestra lista pública de correo en ossec-list@ossec.net
Más
información puede ser encontrada en http://www.ossec.net
---
Presione ENTER para finalizar. ---
(Tal
vez encuentre más información a continuación).
Ya
se encuentra instalado el OSSEC
Para
inicializar OSSEC debemos ejecutar el script de control:
#
/var/ossec/bin/ossec-control start
Para
detenerlo es necesario insertar el siguiente comando:
#
/var/ossec/bin/ossec-control stop
Por
defecto OSSEC revisa los siguientes archivos de bitácoras
-
/var/log/messages
-
/var/log/auth.log
-
/var/log/syslog
-
/var/log/mail.info
-
/var/log/dpkg.log
En
caso de querer revisar alguna bitácora de algún servicio en
especifico como por ejemplo apache, para este servicio debemos
realizar lo siguiente.
Editamos
el archivo de configuración de OSSEC y agregamos las siguientes
lineas.
#vim
/var/ossec/etc/ossec.conf
apache
/var/log/apache2/access.log
apache
/var/log/apache2/error.log
Esto
en caso de tener el servicio de apache por defecto, en caso de tener
varios virtual hosts se deben agregar los logs creados para ellos.
En
caso de agregar otras direcciones ip en la lista blanca de OSSEC se
debe editar el archivo de configuración y agregar las direcciones en
la siguiente sección.
127.0.0.1
^localhost.localdomain$
10.8.2.3
200.44.32.12
Para
que estos cambios tengan efecto se debe reiniciar el servicio de
OSSEC para ellos lo podemos realizar de la siguiente manera.
#/var/ossec/bin/ossec-control
restart
Interfaz
Web
Para
la instalación
de la interfaz web se deben instalar los siguientes paquetes.
#aptitude
install apache2 apache2-doc apache2-utils libapache2-mod-php5 php5
php-pear php5-xcache php5-suhosin
Luego de esto descargamos
el paquete de la interfaz web de ossec de la pagina principal
#cd
/usr/src
Descomprimimos el archivo
#tar
-zxvf ossec-wui-0.3.tar.gz
Movemos el archivo a la
ruta de apache
#mv
ossec-wui-0.3 /var/www/ossec
accedemos a la ruta
#cd
/var/www/ossec
Iniciamos la instalación
de la interfaz
#./setup.sh
Agregamos nuestro usuario
del demonio web al grupo ossec
#adduser
www-data ossec
Y arreglamos los permisos
del directorio “tmp/”.
#chmod
770 /var/www/ossec/tmp/
#chgrp
www-data /var/www/ossec/tmp/
Reiniciamos el servidor
web
#/etc/init.d/apache2
restart
Ahora podemos conectarnos
a nuestro servidor por un navegador web
http://direccion_ip/ossec