Instalando O Ossec Hids

[JvServers]

Bom dia a todos. Sei que é um hids relativamente fácil de se instalar, mas não vi nada relacionado a ele aqui no PdH. Resolvi aproveitar que tenho que instalar ele em um debian de um cliente, e fazer um mini-tutorial desse sistema anti intrusão. Ossec HIDS (Host-based Intrusion Detection System) é um sistema escalável, multiplataforma opensource. Ele conta com monitoramento e analise em tempo real de logs e resposta automática (active responses), bloqueando IPs quando necessário, além de detectar vários rootkits e checagem de integridade de arquivos.

 

Vamos lá!

Primeiramente vamos criar uma pasta no /tmp que abrigará o fonte do ossec, e fazer o download da ultima versão stable (na data do tutorial, é a 2.7, verifique no site http://www.ossec.net)

 

 

root@nome# cd /tmp/ && mkdir ossec && cd ossec

root@nome:/tmp/ossec# wget http://www.ossec.net/files/ossec-hids-2.7.tar.gz
 

 

 

 

Descompactando e instalando:

 

 

root@nome:/tmp/ossec# tar zxvf ossec-hids-2.7.tar.gz
root@nome:/tmp/ossec# cd ossec-hids-2.7/
root@nome:/tmp/ossec/ossec-hids-2.7# ./install.sh
(en/br/cn/de/el/es/fr/hu/it/jp/nl/pl/ru/sr/tr) [en]: br


OSSEC HIDS v2.7 Script de instalação 

Você está iniciando o processo de instalação do OSSEC HIDS. 
Você precisará de um compilador C pré-instalado em seu sistema. 
Qualquer dúvida, sugestões ou comentários, por favor, mande um 
e-mail para dcid@ossec.net (ou daniel.cid@gmail.com). 
- Sistema: Linux nome 2.6.32-5-amd64 
- Usuário: root 
- Host: nome 


-- Aperte ENTER para continuar ou Ctrl+C para abortar. --
[ENTER]


 1- Que tipo de instalação você deseja (servidor, cliente, local ou ajuda)? local
2- Escolha onde instalar o OSSEC HIDS [/var/ossec]: [ENTER]
3.1- Deseja receber notificações por e-mail? (s/n) [s]: [ENTER]
- Qual é o seu endereço de e-mail? seu@email.com  
- Seu servidor SMTP foi encontrado como: xxxxxxxxxx.xxx 
- Deseja usá-lo? (s/n) [s]: [ENTER]

--- Usando servidor SMTP: xxxxxxxxxx.xxx

3.2- Deseja habilitar o sistema de verificação de integridade? (s/n) [s]: [ENTER]
3.3- Deseja habilitar o sistema de detecção de rootkis? (s/n) [s]: [ENTER]
3.4- Deseja habilitar o sistema de respostas automáticas? (s/n) [s]: [ENTER]
- Deseja habilitar o firewall-drop? (s/n) [s]: [ENTER]
- Lista de endereços que não serão bloqueados pela resposta automática:

- xxx.xxx.xxx.xxx
- xxx.xxx.xxx.xxx 
- Deseja adicionar mais algum endereço a essa lista? (s/n)? [n]:
 

 

NOTA: Caso queira adicionar algum ip, é aqui que você vai colocar.Responda S e no próximo passo adicione os IPs, separados por espaço. Caso não queira adicionar nenhum, apenas de [ENTER]

 

- Se quiser monitorar qualquer outro arquivo, modifique 
o ossec.conf e adicione uma nova entrada para o arquivo.
Qualquer dúvida sobre a configuração, visite 
http://www.ossec.net/hids/


--- Pressione ENTER para continuar --- 
[ENTER]


- A configuração pode ser vista ou modificada em /var/ossec/etc/ossec.conf 


Obrigado por usar o OSSEC HIDS.Se você tiver alguma pergunta, sugestão ou encontrar 
algum"bug", nos contate através do e-mail contact@ossec.net ou utilize nossa lista 
de e-mail: http://www.ossec.net/main/support/. Maiores informações podem ser encontradas em 
http://www.ossec.net 


--- Pressione ENTER para continuar --- 
[ENTER]


root@nome:/tmp/ossec/ossec-hids-2.7#
 

 

 

 

E é isso. Ossec instalado.

 

 

Caso não tenha o make e/ou gcc instalado, você verá a seguinte mensagem:

 

 

Erro 0x3. Você necessita de um compilador (como gcc ou cc) para continuar a instalação.  

 

 

Nesse caso, apt-get install gcc make

 

 

Como é meu primeiro tutorial aqui, desculpem-me caso esteja de ruim vizualização, com o tempo eu pego o jeito :-)

[SlipTop]

uma duvida para que serve esse sistema

[JvServers]

Como o proprio nome sugere, o ossec hids é um sistema anti-intrusão. Basicamente falando, ele tem uma lista gigante doque não pode ser feito, e fica analizando logs em tempo real e quando ele ve alguma dessas coisas que não pode acontecer, ele toma uma atitude (resposta automática, ou active responses) seja apenas gerando um log sobre isso e te enviando um email ou bloquando o ip (você define a "gravidade" de cada regra, e oque fazer em cada uma delas). Além de detectar vários rootkits e ter checagem de integridade de arquivos em tempo real. Tenho alguns clientes de games online (vps), que sofriam com sql injection (provavelmente alguma brecha nos sites, ja que todos usam o mesmo), depois de instalado o ossec, segundo eles, nunca mais tiveram problemas. O Ossec com a configuração default bloqueia até mesmo quem faz uma alteração em algum db via phpmyadmin, mesmo logado como root myadmin. 

[SlipTop]

Como o proprio nome sugere, o ossec hids é um sistema anti-intrusão. Basicamente falando, ele tem uma lista gigante doque não pode ser feito, e fica analizando logs em tempo real e quando ele ve alguma dessas coisas que não pode acontecer, ele toma uma atitude (resposta automática, ou active responses) seja apenas gerando um log sobre isso e te enviando um email ou bloquando o ip (você define a "gravidade" de cada regra, e oque fazer em cada uma delas). Além de detectar vários rootkits e ter checagem de integridade de arquivos em tempo real. Tenho alguns clientes de games online (vps), que sofriam com sql injection (provavelmente alguma brecha nos sites, ja que todos usam o mesmo), depois de instalado o ossec, segundo eles, nunca mais tiveram problemas. O Ossec com a configuração default bloqueia até mesmo quem faz uma alteração em algum db via phpmyadmin, mesmo logado como root myadmin. 

gostei depois vo faze uns teste nele

[JvServers]

Ok! não esqueça de voltar e dizer oque achou! caso tenha duvidas, só dizer :)