Installazione OSSEC Debian Wheezy

esperienze avute con Linux e la configurazione di qualche periferica o programma. Postate solo configurazioni effettuate con successo
Avatar utente
debiano
Website Administrator
Website Administrator
Messaggi: 8
Iscritto il: lunedì, 29.09.2008, 9:28

Installazione OSSEC Debian Wheezy

Messaggioda debiano » venerdì, 15.03.2013, 14:03

Installazione Ossec debian-wheezy

Premessa:

Ossec è un IDS (intrusion detection system).
Verrà installato su distribuzione debian 7 wheezy in modalità local.

Successivamente installeremo la web gui ossec-wui per avere una visione completa e semplice dei messaggi di ossec.

Sporchiamoci le mani....

Cominciamo con il download del pacchetto compresso in un percorso del nostro filesystem.

Premetto che il link si riferisce all'ultima release stable.

root# wget -c http://www.ossec.net/files/ossec-hids-2.7.tar.gz

Ok decomprimiamo il file.

root#tar -zxvf ossec-hids-2.7.tar.gz
ossec-hids-2.7
Vi troverete una cartella dal nome ossec-hids-2.7

Spostiamoci all'interno:

root# cd ossec-hids-2.7

All'interno troverete un comodo script di installazione dal nome install.sh

Lanciamolo:
root#./install.sh

Lo script ci presenterà un menu dove scegliere la lingua di installazione (stranamente c'è anche l'italiano)

(en/br/de/es/fr/it/jp/pl/ru/tr) [en]:it

Le richieste successive richiedono un semplice invio che di default confermerà la risposta yes alle varie impostazioni.

Consiglio di porre attenzione alla domanda:

What's your e-mail address?

Se avete un MTA installato sulla macchina locale come postfix o exim4 consiglio di inserire l'indirizzo di posta elettronica locale del vostro utente un esempio potrebbe essere vincenzo@giove.local dove vincenzo è il nome utente e giove è l'hostname della macchina e local è il dominio.

Potete verificare l'hostname con il comando:

root# hostname -f

Successivamente inserire l'indirizzo del mail server:
Nel mio caso postfix è configurato come local, quindi l'indirizzo sarè quello di loop 127.0.0.1

Ossec si installerà nel percorso /var/ossec
E lo script si startup si troverà in /etc/init.d/ossec

Per avviare:
root# /etc/init.d/ossec start

Se volete verificare:

root# ps aux

ossecm 2038 0.0 0.4 1860 792 ? S 12:40 0:00 /var/ossec/bin/ossec-maild root 2042 0.0 0.3 1736 648 ? S 12:40 0:00 /var/ossec/bin/ossec-execd ossec 2046 0.2 0.5 2192 1136 ? S 12:40 0:00 /var/ossec/bin/ossec-analysisd root 2050 0.0 0.2 1592 556 ? S 12:40 0:00 /var/ossec/bin/ossec-logcollector root 2054 12.2 0.3 1756 616 ? S 12:40 0:05 /var/ossec/bin/ossec-syscheckd


E i file di log
tail -f /var/ossec/logs/ossec.log

Il nostro IDS é perfettamente funzionante ora passiamo
a semplificare la lettura dei messaggi.

Cominciamo con il download di ossec-wui

root# wget -c http://www.ossec.net/files/ossec-wui-0.3.tar.gz

Decomprimiamo all'interno della root di apache

root# tar -zxvf ossec-wui-0.3.tar.gz -C /var/www/

Ovviamente siamo liberi di rinominare la directory decompressa:

root:/var/www# mv ossec-XX ossec-wui

Sistemiamo i permessi ricordiamoci che in debian Apache gira come utente www-data e gruppo www-data:

root:/var/www# chown www-data:www-data -R ossec-wui

Ci siamo quasi................

Dalla documentazione bisogna aggiungere l'utente www-data al gruppo ossec.

Quindi

# vi /etc/group

Cambiare

ossec:x:1001:

con

ossec:x:1001:www-data

Ovviamente l' GUID 1001 potrebbe essere diverso sul vostro sistema qui vale solo come esempio, è da non modificare quello presente nel vostro file.

Successivamente cambiamo i permessi alla directory temporanea di ossec.

root# cd /var/ossec/

root:/var/ossec# chmod 770 tmp/
root:/var/ossec# chgrp www-data tmp/
root:/var/ossec# service apache2 restart

Ok puntando il browser all'indirizzo:
http://localhost/ossec-wui

Avete accesso alla pagina di ossec dove potrete visionare i vari messaggi di avviso.

Un altro metodo per leggere i messaggi è utilizzate mutt.
Durante l'installazione di ossec abbiamo impostato l'indirizzo email locale e l'idirizzo dell' smtp locale.

Ossec invierà la email di avvisi all'utente locale.



Sicurezza...............

In questo modo tutti hanno accesso alla web-page di ossec.

All'interno della directory ossec-wui è disponibile un comodo script dal nome setup.sh.

Lanciamolo

root:/var/www/ossec-wui#./setup.sh
Ci verrà chiesto una Username e una password.
Queste credenziali permetteranno l'accesso alla pagina di ossec-wui solo all'utente autorizzato.

In sostanza abilita l'autenticazione di tipo basic su apache.

Bene, editiamo il file /etc/apache2/site-available/default
e abilitiamo l'override aggiungendo:


<Directory "/var/www/ossec-wui">
AllowOverride All
Order allow,deny
Allow from All
</Directory>


Riavviamo apache:
root# service apache2 restart

Al prossimo accesso alla pagina http://localhost/ossec-wui ci verranno chieste le credenziali di accesso.
... quello che l' occhio vede e l' orecchio sente, la mente crede ...

Avatar utente
Hawkeye
Website Administrator
Website Administrator
Messaggi: 58
Iscritto il: domenica, 17.08.2008, 22:02
Indica il numero centrale della lista (tre): 3
Località: Pomarico (MT)
Contatta:

Re: Installazione OSSEC Debian Wheezy

Messaggioda Hawkeye » venerdì, 26.04.2013, 23:48

Debiano, magnifica guida.
grazie!
Hawkeye
http://www.hangelot.eu - Personal Website
http://www.meteopomarico.it - Il meteo di Pomarico
http://www.lugworld.org - GNU/Linux Rss feed
Linux User: 389957


Torna a “Configurazioni”

Chi c’è in linea

Visitano il forum: Nessuno e 2 ospiti