Bom dia a todos. Sei que é um hids relativamente fácil de se instalar, mas não vi nada relacionado a ele aqui no PdH. Resolvi aproveitar que tenho que instalar ele em um debian de um cliente, e fazer um mini-tutorial desse sistema anti intrusão. Ossec HIDS (Host-based Intrusion Detection System) é um sistema escalável, multiplataforma opensource. Ele conta com monitoramento e analise em tempo real de logs e resposta automática (active responses), bloqueando IPs quando necessário, além de detectar vários rootkits e checagem de integridade de arquivos.

 

Vamos lá!

Primeiramente vamos criar uma pasta no /tmp que abrigará o fonte do ossec, e fazer o download da ultima versão stable (na data do tutorial, é a 2.7, verifique no site http://www.ossec.net)

 

 

root@nome# cd /tmp/ && mkdir ossec && cd ossec

root@nome:/tmp/ossec# wget http://www.ossec.net/files/ossec-hids-2.7.tar.gz
 

 

 

 

Descompactando e instalando:

 

 

root@nome:/tmp/ossec# tar zxvf ossec-hids-2.7.tar.gz
root@nome:/tmp/ossec# cd ossec-hids-2.7/
root@nome:/tmp/ossec/ossec-hids-2.7# ./install.sh
(en/br/cn/de/el/es/fr/hu/it/jp/nl/pl/ru/sr/tr) [en]: br


OSSEC HIDS v2.7 Script de instalação 

Você está iniciando o processo de instalação do OSSEC HIDS. 
Você precisará de um compilador C pré-instalado em seu sistema. 
Qualquer dúvida, sugestões ou comentários, por favor, mande um 
e-mail para dcid@ossec.net (ou daniel.cid@gmail.com). 
- Sistema: Linux nome 2.6.32-5-amd64 
- Usuário: root 
- Host: nome 


-- Aperte ENTER para continuar ou Ctrl+C para abortar. --
[ENTER]


 1- Que tipo de instalação você deseja (servidor, cliente, local ou ajuda)? local
2- Escolha onde instalar o OSSEC HIDS [/var/ossec]: [ENTER]
3.1- Deseja receber notificações por e-mail? (s/n) [s]: [ENTER]
- Qual é o seu endereço de e-mail? seu@email.com  
- Seu servidor SMTP foi encontrado como: xxxxxxxxxx.xxx 
- Deseja usá-lo? (s/n) [s]: [ENTER]

--- Usando servidor SMTP: xxxxxxxxxx.xxx

3.2- Deseja habilitar o sistema de verificação de integridade? (s/n) [s]: [ENTER]
3.3- Deseja habilitar o sistema de detecção de rootkis? (s/n) [s]: [ENTER]
3.4- Deseja habilitar o sistema de respostas automáticas? (s/n) [s]: [ENTER]
- Deseja habilitar o firewall-drop? (s/n) [s]: [ENTER]
- Lista de endereços que não serão bloqueados pela resposta automática:

- xxx.xxx.xxx.xxx
- xxx.xxx.xxx.xxx 
- Deseja adicionar mais algum endereço a essa lista? (s/n)? [n]:
 

 

NOTA: Caso queira adicionar algum ip, é aqui que você vai colocar.Responda S e no próximo passo adicione os IPs, separados por espaço. Caso não queira adicionar nenhum, apenas de [ENTER]

 

- Se quiser monitorar qualquer outro arquivo, modifique 
o ossec.conf e adicione uma nova entrada para o arquivo.
Qualquer dúvida sobre a configuração, visite 
http://www.ossec.net/hids/


--- Pressione ENTER para continuar --- 
[ENTER]


- A configuração pode ser vista ou modificada em /var/ossec/etc/ossec.conf 


Obrigado por usar o OSSEC HIDS.Se você tiver alguma pergunta, sugestão ou encontrar 
algum"bug", nos contate através do e-mail contact@ossec.net ou utilize nossa lista 
de e-mail: http://www.ossec.net/main/support/. Maiores informações podem ser encontradas em 
http://www.ossec.net 


--- Pressione ENTER para continuar --- 
[ENTER]


root@nome:/tmp/ossec/ossec-hids-2.7#
 

 

 

 

E é isso. Ossec instalado.

 

 

Caso não tenha o make e/ou gcc instalado, você verá a seguinte mensagem:

 

 

Erro 0x3. Você necessita de um compilador (como gcc ou cc) para continuar a instalação.  

 

 

Nesse caso, apt-get install gcc make

 

 

Como é meu primeiro tutorial aqui, desculpem-me caso esteja de ruim vizualização, com o tempo eu pego o jeito :-)

uma duvida para que serve esse sistema

Como o proprio nome sugere, o ossec hids é um sistema anti-intrusão. Basicamente falando, ele tem uma lista gigante doque não pode ser feito, e fica analizando logs em tempo real e quando ele ve alguma dessas coisas que não pode acontecer, ele toma uma atitude (resposta automática, ou active responses) seja apenas gerando um log sobre isso e te enviando um email ou bloquando o ip (você define a "gravidade" de cada regra, e oque fazer em cada uma delas). Além de detectar vários rootkits e ter checagem de integridade de arquivos em tempo real. Tenho alguns clientes de games online (vps), que sofriam com sql injection (provavelmente alguma brecha nos sites, ja que todos usam o mesmo), depois de instalado o ossec, segundo eles, nunca mais tiveram problemas. O Ossec com a configuração default bloqueia até mesmo quem faz uma alteração em algum db via phpmyadmin, mesmo logado como root myadmin. 

Como o proprio nome sugere, o ossec hids é um sistema anti-intrusão. Basicamente falando, ele tem uma lista gigante doque não pode ser feito, e fica analizando logs em tempo real e quando ele ve alguma dessas coisas que não pode acontecer, ele toma uma atitude (resposta automática, ou active responses) seja apenas gerando um log sobre isso e te enviando um email ou bloquando o ip (você define a "gravidade" de cada regra, e oque fazer em cada uma delas). Além de detectar vários rootkits e ter checagem de integridade de arquivos em tempo real. Tenho alguns clientes de games online (vps), que sofriam com sql injection (provavelmente alguma brecha nos sites, ja que todos usam o mesmo), depois de instalado o ossec, segundo eles, nunca mais tiveram problemas. O Ossec com a configuração default bloqueia até mesmo quem faz uma alteração em algum db via phpmyadmin, mesmo logado como root myadmin. 

gostei depois vo faze uns teste nele

Ok! não esqueça de voltar e dizer oque achou! caso tenha duvidas, só dizer :)