Installation et configuration d'Ossec IDS

ossec jpeg

Un IDS en toute simplicité !

Ossec est un détecteur d'intrusion du type HIDS (Host-based Intrusion Detection System). Il est l'un des HIDS des plus utilisés, très facile d'accès tant pour l'installation que pour l'utilisation.

Url du site officiel : http://www.ossec.net/

Téléchargement :

Vous trouverez les sources pour le serveurs et l'agent ainsi que l'interface web à cette adresse : http://www.ossec.net/files/

cd /opt/SOURCES
wget http://www.ossec.net/files/ossec-hids-2.2.tar.gz
tar xvzf ossec-hids-2.2.tar.gz
cd ossec-hids-2.2

Installation :

Grâce a un script tres bien fait l'installation est un jeu d'enfant (mais laissez pas ça à vos enfants quand même...) Personnellement je préfère changer le repertoire d'installation pour une désinstallation plus tard ça sera plus simple (exemple : /opt/ossec-serveur pour le serveur et /opt/ossec-agent pour l'agent).

./install.sh

et la vous n'avez plus qu'a suivre les instructions dans la langue de Molière, serveur installera juste la partie serveur, agent installera juste un agent et local installera le serveur et un agent pour le serveur.

Pour démarrer le serveur OSSEC HIDS :

/opt/ossec-server/bin/ossec-control start

Pour arrêter le serveur OSSEC HIDS :

/opt/ossec-server/bin/ossec-control stop

La configuration peut être visualisée ou modifiée dans :

/opt/ossec-server/etc/ossec.conf

Installation de l'interface Web :

Url ou vous trouverez l'interface : http://www.ossec.net/files/ui/

cd /var/www
wget http://www.ossec.net/files/ui/ossec-wui-0.3.tar.gz
tar xvzf ossec-wui-0.3.tar.gz
mv ossec-wui-0.3 ossec
chown -R user-apache: ossec
cd ossec
./setup

Il vous faudra sûrement configurer un vhost pour faire du propre :)

Ajouter un agent de surveillance sur un autre serveur :

Biensur il faut installer un agent sur le serveur client comme au début de cet article.

Lancez cette commande sur le serveur ossec et suivez les instructions :

/opt/ossec-server/bin/manage_agents

Ensuite utilisez la commande suivante pour importer la clef que vous aurez copier, sur le client, ce qui lui permettra de faire ces remontées au serveur ossec.

/opt/ossec-agent/bin/manage_agents

Ces commande sont à adapter selon votre installation.

Maintenant rendez vous à l'url que vous avez choisi pour l'interface :

Elle doit être de la forme : http://ossec.domain.fr ou http://ip-serveur/ossec

Si au lancement de l'interface web vous obtenez une erreur de type opendir failed (/var/ossec) dans vos logs ou Unable to access ossec directory et que vous avez modifié le répertoire d'ossec à l'installation (/opt/ossec... par exemple, il faut éditer le fichier /var/www/ossec/ossec_conf.php et faire le changement adéquate :

/* Ossec directory */
$ossec_dir="/home/ossec";

Parfois il faut attendre quelques minutes avant d'avoir les premières remontées. (pas utiliser cette phrase dans un autre contexte merci :p)

Administration et commandes:

Pour afficher la liste des agents actifs on tape :

/opt/ossec-server/bin/agent_control -lc

Pour intérroger le status d'un agent on tape :

/opt/ossec-server/bin/agent_control -i 002

Pour ceux qui voudraient aller un peu plus loin : http://www.ossec.net/main/manual/

Screenshots :

Voici un petit aperçu de l'interface :

ossec web jpeg

Très simple :) mais fonctionnelle :)

Vus : 901
Publié par System Linux : 211