Installation et configuration d'Ossec IDS
Un IDS en toute simplicité !
Ossec est un détecteur d'intrusion du type HIDS (Host-based Intrusion Detection System). Il est l'un des HIDS des plus utilisés, très facile d'accès tant pour l'installation que pour l'utilisation.
Url du site officiel : http://www.ossec.net/
Téléchargement :
Vous trouverez les sources pour le serveurs et l'agent ainsi que l'interface web à cette adresse : http://www.ossec.net/files/
cd /opt/SOURCES wget http://www.ossec.net/files/ossec-hids-2.2.tar.gz tar xvzf ossec-hids-2.2.tar.gz cd ossec-hids-2.2
Installation :
Grâce a un script tres bien fait l'installation est un jeu d'enfant (mais laissez pas ça à vos enfants quand même...) Personnellement je préfère changer le repertoire d'installation pour une désinstallation plus tard ça sera plus simple (exemple : /opt/ossec-serveur pour le serveur et /opt/ossec-agent pour l'agent).
./install.sh
et la vous n'avez plus qu'a suivre les instructions dans la langue de Molière, serveur installera juste la partie serveur, agent installera juste un agent et local installera le serveur et un agent pour le serveur.
Pour démarrer le serveur OSSEC HIDS :
/opt/ossec-server/bin/ossec-control start
Pour arrêter le serveur OSSEC HIDS :
/opt/ossec-server/bin/ossec-control stop
La configuration peut être visualisée ou modifiée dans :
/opt/ossec-server/etc/ossec.conf
Installation de l'interface Web :
Url ou vous trouverez l'interface : http://www.ossec.net/files/ui/
cd /var/www wget http://www.ossec.net/files/ui/ossec-wui-0.3.tar.gz tar xvzf ossec-wui-0.3.tar.gz mv ossec-wui-0.3 ossec chown -R user-apache: ossec cd ossec ./setup
Il vous faudra sûrement configurer un vhost pour faire du propre
Ajouter un agent de surveillance sur un autre serveur :
Biensur il faut installer un agent sur le serveur client comme au début de cet article.
Lancez cette commande sur le serveur ossec et suivez les instructions :
/opt/ossec-server/bin/manage_agents
Ensuite utilisez la commande suivante pour importer la clef que vous aurez copier, sur le client, ce qui lui permettra de faire ces remontées au serveur ossec.
/opt/ossec-agent/bin/manage_agents
Ces commande sont à adapter selon votre installation.
Maintenant rendez vous à l'url que vous avez choisi pour l'interface :
Elle doit être de la forme : http://ossec.domain.fr ou http://ip-serveur/ossec
Si au lancement de l'interface web vous obtenez une erreur de type opendir failed (/var/ossec) dans vos logs ou Unable to access ossec directory et que vous avez modifié le répertoire d'ossec à l'installation (/opt/ossec... par exemple, il faut éditer le fichier /var/www/ossec/ossec_conf.php et faire le changement adéquate :
/* Ossec directory */ $ossec_dir="/home/ossec";
Parfois il faut attendre quelques minutes avant d'avoir les premières remontées. (pas utiliser cette phrase dans un autre contexte merci :p)
Administration et commandes:
Pour afficher la liste des agents actifs on tape :
/opt/ossec-server/bin/agent_control -lc
Pour intérroger le status d'un agent on tape :
/opt/ossec-server/bin/agent_control -i 002
Pour ceux qui voudraient aller un peu plus loin : http://www.ossec.net/main/manual/
Screenshots :
Voici un petit aperçu de l'interface :
Très simple mais fonctionnelle