Un système de détection d'intrusion peut nous avertir contre le DDOS, la force brute, les exploits, les fuites de données, etc., il surveille notre réseau en temps réel et interagit avec nous et avec notre système lorsque nous décidons.
Chez LinuxHint, nous avons précédemment consacré à Snort deux tutoriels, Snort est l'un des principaux systèmes de détection d'intrusion sur le marché et probablement le premier. Les articles étaient Installation et utilisation du système de détection d'intrusion Snort pour protéger les serveurs et les réseaux et configurer Snort IDS et créer des règles.
Cette fois, je vais montrer comment configurer OSSEC. Le serveur est le cœur du logiciel, il contient les règles, les entrées d'événements et les politiques tandis que les agents sont installés sur les appareils à surveiller. Les agents livrent les journaux et informent le serveur des incidents. Dans ce tutoriel, nous n'installerons que le côté serveur pour surveiller l'appareil en cours d'utilisation, le serveur contient déjà les fonctions de l'agent sur l'appareil sur lequel il est installé.
Installation de l'OSSEC :
Tout d'abord lancez :
apt installer libmariadb2Pour les packages Debian et Ubuntu, vous pouvez télécharger OSSEC Server à l'adresse https://updates.atomicorp.com/channels/ossec/debian/pool/main/o/ossec-hids-server/
Pour ce tutoriel je vais télécharger la version actuelle en tapant dans la console :
wget https://mises à jour.atomicorp.com/channels/ossec/debian/pool/main/o/serveur-ossec-hids/serveur-ossec-hids_3.3.0.6515stretch_amd64.deb
Exécutez ensuite :
dpkg -i ossec-hids-server_3.3.0.6515stretch_amd64.deb
Démarrez OSSEC en exécutant :
/var/ossec/bin/ossec-control start
Par défaut, notre installation n'a pas activé la notification par e-mail, pour la modifier, tapez
nano /var/ossec/etc/ossec.confChanger
Pour
Et ajouter:
presse ctrl+x et Oui pour sauvegarder et quitter et redémarrer OSSEC :
/var/ossec/bin/ossec-control start
Noter: si vous souhaitez installer l'agent OSSEC sur un autre type d'appareil :
wget https://mises à jour.atomicorp.com/channels/ossec/debian/pool/main/o/ossec-hids-agent/ossec-hids-agent_3.3.0.6515stretch_amd64.deb
dpkg -i ossec-hids-agent_3.3.0.6515stretch_amd64.deb
Encore une fois, vérifions le fichier de configuration pour OSSEC
nano /var/ossec/etc/ossec.confFaites défiler vers le bas pour atteindre la section Syscheck
Ici vous pouvez déterminer les répertoires vérifiés par l'OSSEC et les intervalles de révision. Nous pouvons également définir des répertoires et des fichiers à ignorer.
Pour que l'OSSEC rapporte les événements en temps réel, modifiez les lignes
À
/usr/sbin
Pour ajouter un nouveau répertoire à vérifier par OSSEC, ajoutez une ligne :
Fermez nano en appuyant sur CTRL+X et Oui et tapez :
nano /var/ossec/rules/ossec_rules.xml
Ce fichier contient les règles de l'OSSEC, le niveau de règle déterminera la réponse du système. Par exemple, par défaut, l'OSSEC ne signale que les avertissements de niveau 7, s'il existe une règle avec un niveau inférieur à 7 et que vous souhaitez être informé lorsque l'OSSEC identifie l'incident, modifiez le numéro de niveau pour 7 ou plus. Par exemple, si vous souhaitez être informé lorsqu'un hôte est débloqué par la réponse active de l'OSSEC, modifiez la règle suivante :
À:
Une alternative plus sûre peut être d'ajouter une nouvelle règle à la fin du fichier en réécrivant la précédente :
Maintenant que nous avons installé OSSEC au niveau local, dans un prochain tutoriel, nous en apprendrons plus sur les règles et la configuration d'OSSEC.
J'espère que vous avez trouvé ce tutoriel utile pour démarrer avec OSSEC, continuez à suivre LinuxHint.com pour plus de conseils et de mises à jour sur Linux.