Différences
Ci-dessous, les différences entre deux révisions de la page.
Les deux révisions précédentes Révision précédente Prochaine révision | Révision précédente | ||
ossec [Le 26/08/2010, 14:32] 188.62.43.21 |
ossec [Le 11/09/2022, 11:45] (Version actuelle) moths-art Suppression des espaces en fin de ligne (détecté et corrigé via le bot wiki-corrector (https://forum.ubuntu-fr.org/viewtopic.php?id=2067892) |
||
---|---|---|---|
Ligne 1: | Ligne 1: | ||
- | {{tag>pare-feu surveillance réseau}} | + | {{tag>pare-feu réseau}} |
---- | ---- | ||
====== Détecteur d'intrusions OSSEC-HIDS ====== | ====== Détecteur d'intrusions OSSEC-HIDS ====== | ||
- | {{http://www.ossec.net/img/ossec_logo.jpg }} | + | {{ http://www.ossec.net/wp-content/uploads/2012/06/ossec-hids.png}} |
- | Cette page traite de la procédure à suivre afin d'installer et d'utiliser OSSEC, un détecteur d'intrusion sur machine hôte : "HIDS" ([[http://fr.wikipedia.org/wiki/NIDS#HIDS_.28IDS_machine.29|Host-based Intrusion Detection System]]). Ossec est l'un des HIDS le plus utilisés. Il est très facile d'accès tant pour l'installation que pour l'utilisation. | + | Cette page traite de la procédure à suivre afin d'installer et d'utiliser OSSEC, un détecteur d'intrusion sur machine hôte : "HIDS" ([[wpfr>NIDS#HIDS_.28IDS_machine.29|Host-based Intrusion Detection System]]). Ossec est l'un des HIDS le plus utilisés. Il est très facile d'accès tant pour l'installation que pour l'utilisation. |
- | Pouvant réagir c'est également une IPS, [[http://fr.wikipedia.org/wiki/Syst%C3%A8me_de_pr%C3%A9vention_d%27intrusion|Système de prévention d'intrusion]] machine. | + | Pouvant réagir, c'est également une IPS, [[wpfr>Système_de_prévention_d'intrusion|Système de prévention d'intrusion]] machine. |
- | Pour en savoir plus sur ce qu'est un IDS, vous pouvez vous référer à [[http://www.commentcamarche.net/detection/ids.php3|ce lien]], ou à [[http://fr.wikipedia.org/wiki/NIDS|celui-là]]. | + | Pour en savoir plus sur ce qu'est un IDS, vous pouvez vous référer à [[http://www.commentcamarche.net/detection/ids.php3|ce lien]], ou à [[wpfr>NIDS|celui-là]]. |
Voir en complément : | Voir en complément : | ||
Ligne 18: | Ligne 18: | ||
* Disposer des [[:sudo|droits d'administration]] ; | * Disposer des [[:sudo|droits d'administration]] ; | ||
* Disposer d'une connexion à Internet configurée et activée ; | * Disposer d'une connexion à Internet configurée et activée ; | ||
- | * (Pour l'interface graphique uniquement) Disposer d'[[http://doc.ubuntu-fr.org/apache2|apache2]]. | + | * (Pour l'interface graphique uniquement) Disposer d'[[:apache2]]. |
===== Installation ===== | ===== Installation ===== | ||
- | + | ====Installation manuelle==== | |
- | Malheureusement, OSSEC n'est pas dans les dépôts, il vous faudra donc vous rendre sur [[http://www.ossec.net/main/downloads/|le site d'OSSEC]] et télécharger la dernière version. À l'heure où ce tuto est écrit, il s'agit de la 2.2. | + | Malheureusement, OSSEC n'est pas dans les dépôts, il vous faudra donc vous rendre sur [[http://www.ossec.net/?page_id=19|le site d'OSSEC]] et télécharger la dernière version. À l'heure où ce tuto est écrit, il s'agit de la 2.5.1 |
Une fois le paquet téléchargé, placez-vous dans le répertoire de téléchargement et continuez par | Une fois le paquet téléchargé, placez-vous dans le répertoire de téléchargement et continuez par | ||
- | <file>wget http://www.ossec.net/files/ossec-hids-2.2.tar.gz | + | <code>wget http://www.ossec.net/files/ossec-hids-2.5.1.tar.gz |
- | tar xzvf ossec-hids-2.2.tar.gz | + | tar xzvf ossec-hids-2.5.1.tar.gz |
- | cd ossec-hids-2.2 | + | cd ossec-hids-2.5.1 |
- | sudo ./install.sh</file> | + | sudo ./install.sh</code> |
Parmi la liste de questions qu'on va vous poser, vous pouvez choisir la réponse par défaut dans tous les cas. Lorsqu'on vous demande quel type d'installation préférer, optez pour **local**. | Parmi la liste de questions qu'on va vous poser, vous pouvez choisir la réponse par défaut dans tous les cas. Lorsqu'on vous demande quel type d'installation préférer, optez pour **local**. | ||
- | <note tip>Quand on vous demande si vous souhaitez ajouter des IP dans la liste blanches, pensez à renseigner les IPs des ordinateurs de votre LAN, le cas échéant.</note> | + | <note tip>Quand on vous demande si vous souhaitez ajouter des IP dans la liste blanche, pensez à renseigner les IPs des ordinateurs de votre LAN, le cas échéant.</note> |
- | Si vous souhaitez utiliser une interface graphique pour OSSEC, il vous faudra un serveur [[http://doc.ubuntu-fr.org/apache2|apache2]] en état de fonctionnement. | + | Si vous souhaitez utiliser une interface graphique pour OSSEC, il vous faudra un serveur [[:apache2]] en état de fonctionnement. |
- | Si c'est le cas, rendez-vous à nouveau sur le site d'OSSEC et téléchargez la dernière version de la WebInterface dans** /var/www/**. Ensuite : | + | Si c'est le cas, rendez-vous à nouveau sur le site d'OSSEC et téléchargez la dernière version de la [[http://www.ossec.net/wiki/index.php/OSSECWUI:Install|WebInterface]] dans** /var/www/**. Ensuite : |
- | <file>cd /var/www | + | <code>cd /var/www |
sudo tar xzvf ~/ossec-wui-0.3.tar.gz | sudo tar xzvf ~/ossec-wui-0.3.tar.gz | ||
sudo mv ossec-wui* ossec | sudo mv ossec-wui* ossec | ||
Ligne 50: | Ligne 50: | ||
cd /var/www | cd /var/www | ||
sudo chown -R www-data.www-data ossec | sudo chown -R www-data.www-data ossec | ||
- | sudo usermod -G ossec -a www-data</file> | + | sudo usermod -G ossec -a www-data</code> |
L'installation est terminée, vous pouvez maintenant relancer apache et lancer OSSEC : | L'installation est terminée, vous pouvez maintenant relancer apache et lancer OSSEC : | ||
- | <file>sudo /etc/init.d/apache2 restart | + | <code>sudo /etc/init.d/apache2 restart |
- | sudo /etc/init.d/ossec start</file> | + | sudo /etc/init.d/ossec start</code> |
+ | ====Installation par dépot launchpad==== | ||
+ | Pour [[lucid|lucid 10.04 LTS]], [[12.04_lts|Precise 12.04 LTS]]:[[https://launchpad.net/~nicolas-zin/+archive/ossec-ubuntu|PPA]] (comment installer un [[ppa|PPA]]?), __préférer l'installation manuelle__ | ||
==== Erreur au lancement dans le navigateur ==== | ==== Erreur au lancement dans le navigateur ==== | ||
- | Si au lancement de la page web vous obtenez une erreur de type opendir failed (/var/ossec) et que vous avez modifé le répertoire d'ossec a l'installation (/home/ossec par exemple, il faut éditer le fichier /var/www/ossec/ossec_conf.php et faire les changements suivants : | + | Si au lancement de la page web vous obtenez une erreur de type opendir failed (/var/ossec) et que vous avez modifé le répertoire d'ossec à l'installation (/home/ossec par exemple, il faut éditer le fichier /var/www/ossec/ossec_conf.php et faire les changements suivants : |
- | <file> | + | <code> |
/* Ossec directory */ | /* Ossec directory */ | ||
$ossec_dir="/home/ossec"; | $ossec_dir="/home/ossec"; | ||
- | </file> | + | </code> |
===== Configuration ===== | ===== Configuration ===== | ||
- | Il n'y a pas grand chose à faire pour configurer OSSEC. Vous pouvez toutefois jeter un oeil au fichier de configuration : | + | Il n'y a pas grand chose à faire pour configurer OSSEC. Vous pouvez toutefois [[:tutoriel:comment_modifier_un_fichier|jeter un oeil]] au fichier de configuration **/var/ossec/etc/ossec.conf**, ainsi qu'au [[http://www.ossec.net/main/manual/#config|manuel (anglais)]] si vous souhaitez tout paramétrer. |
- | <file>gksudo gedit /var/ossec/etc/ossec.conf</file> | + | ===== Ajout de surveillance dossier en temps réel ===== |
- | ainsi qu'au [[http://www.ossec.net/main/manual/#config|manuel]] si vous souhaitez tout paramétrer. | ||
- | ===== Ajout de surveillance dossier en temps réel ===== | + | Pour ajouter un fichier à surveiller, [[:tutoriel:comment_modifier_un_fichier|ouvrez le fichier]] **/var/ossec/etc/ossec.conf**. |
- | Pour ajouter un fichier à surveiller ouvrez : | + | Recherchez syscheck dans ce document xml, et ajoutez sous <directories> séparé d'une virgule les dossiers à ajouter ou rajoutez des lignes qui suivent cette forme : |
- | <code>sudo gedit /var/ossec/etc/ossec.conf</code> | + | |
- | Recherche syscheck dans ce document xml et ajoutez sous <directories> séparé d'une virgule les dossiers à ajouter ou rajoutez des lignes qui suivent cette forme : | + | |
- | <file><directories check_all="yes">/home/ton_user/tes_dossiers</directories></file> | + | <code><directories check_all="yes">/home/ton_user/ton_dossier,/ton_autre_dossier</directories></code> |
+ | |||
+ | Par défaut OSSEC fait une analyse d'intégrité toutes les 22h que vous remarquerez par cette valeur : **<frequency>79200</frequency>**. | ||
+ | |||
+ | **Voici un exemple d'analyse en temps réel :** | ||
+ | |||
+ | Ajouter **Firefox et Filezilla**... (Il est conseillé d'avoir Quad de 2.8 GHz minimum pour appliquer cet exemple.) Cela donne : | ||
- | Par **exemple** j'ai rajouté **Firefox et Filezilla** avec une surveillance **en temps réelle.**. Celà donne : | + | <code><directories check_all="yes" realtime="yes">/home/marypopy/.mozilla,/home/marypopy/.filezilla</directories></code> |
+ | (Remplacer "marypopy" par votre identifiant) | ||
- | <file><directories check_all="yes" realtime="yes">/home/marypopy/.mozilla,/home/marypopy/.filezilla</directories></file> | + | Mise à jour de la base pour la vérification d'intégrité |
+ | <code>sudo /var/ossec/bin/syscheck_update -a</code> | ||
+ | Et | ||
+ | <code>sudo /var/ossec/bin/syscheck_update -l</code> | ||
Suite à une modification, relancez OSSEC | Suite à une modification, relancez OSSEC | ||
- | <code>sudo /var/ossec/bin/ossec-control start</code> | + | <code>sudo /var/ossec/bin/ossec-control restart</code> |
Si vous obtenez un message de ce type c'est ok : | Si vous obtenez un message de ce type c'est ok : | ||
<code>Starting OSSEC HIDS v2.4.1 (by Trend Micro Inc.)... | <code>Starting OSSEC HIDS v2.4.1 (by Trend Micro Inc.)... | ||
Ligne 107: | Ligne 116: | ||
==== Configurer le <syscheck> aux petits oignons. ==== | ==== Configurer le <syscheck> aux petits oignons. ==== | ||
- | A la place de "check_all" qui active toutes les actions que je vais énumérer, vous pourriez préférer les activer séparément celons vos intérêts. | + | A la place de "check_all" qui active toutes les actions énumérées ci-dessous, vous pourriez préférer les activer séparément selon vos besoins. |
* //check_sum// vérifications selon sommes de contrôle | * //check_sum// vérifications selon sommes de contrôle | ||
Ligne 115: | Ligne 124: | ||
Toujour indiquer le yes. L'activation se passe donc sous cette forme : | Toujour indiquer le yes. L'activation se passe donc sous cette forme : | ||
- | <file><directories check_sum="yes" heck_size="yes" check_owner="yes" check_groupe="yes" check_perm="yes">/home/ton_user/tes_dossiers</directories></file> | + | <file><directories check_sum="yes" check_size="yes" check_owner="yes" check_groupe="yes" check_perm="yes">/home/ton_user/tes_dossiers</directories></file> |
Cette forme est absolument égale à : | Cette forme est absolument égale à : | ||
<file><directories check_all="yes">/home/ton_user/tes_dossiers</directories></file> | <file><directories check_all="yes">/home/ton_user/tes_dossiers</directories></file> | ||
Ensuite "yes" "no" équivaut à un bouton on ou off | Ensuite "yes" "no" équivaut à un bouton on ou off | ||
+ | |||
+ | La balise **<ignore>** sert à exclure du contenu de l'analyse. | ||
+ | |||
+ | Vous trouverez des informations sur [[https://forum.ubuntu-fr.org/viewtopic.php?id=404799|cette discussion du forum]]. | ||
+ | |||
+ | ==== Visionner vos alertes en temps réel ==== | ||
+ | |||
+ | |||
+ | Visionner les alertes en temps réel : | ||
+ | <code>sudo tail -f /var/ossec/logs/alerts/alerts.log</code> | ||
+ | ou | ||
+ | <code>sudo tail -f /var/ossec/logs/ossec.log</code> | ||
==== Ajouter un agent ==== | ==== Ajouter un agent ==== | ||
- | L'avantage d'OSSEC est de pouvoir monitorer des serveurs distants appelés agents. Pour les ajouter voici comment faire. | + | L'avantage d'OSSEC est de pouvoir monitorer des serveurs distants appelés agents. Pour les ajouter voici comment faire. |
On lance sur le serveur maître (celui qui monitorera les agents) la commande suivante : | On lance sur le serveur maître (celui qui monitorera les agents) la commande suivante : | ||
Ligne 153: | Ligne 174: | ||
</code> | </code> | ||
- | Voila l'agent est ajouté. Seulement pour sécuriser les transferts il faut créer un clé de confiance entre les deux entités. | + | Voila l'agent est ajouté. Seulement pour sécuriser les transferts il faut créer un clé de confiance entre les deux entités. |
Toujours du coté serveur on tape : | Toujours du coté serveur on tape : | ||
Ligne 181: | Ligne 202: | ||
</code> | </code> | ||
- | Il faut copier cette clé et la coller dans l'agent. | + | Il faut copier cette clé et la coller dans l'agent. |
Maintenant du coté agent on fait ceci : | Maintenant du coté agent on fait ceci : | ||
Ligne 226: | Ligne 247: | ||
===== Utilisation===== | ===== Utilisation===== | ||
- | Pour vous connecter à l'interface graphique, tappez ceci dans votre navigateur : | + | Pour vous connecter à l'interface graphique, tapez ceci dans votre navigateur : |
- | <file>http://votre_ip_locale/ossec</file> | + | http://votre_ip_locale/ossec |
L'interface est très simple, aussi ne nécessite-t-elle pas plus d'explications... :-) | L'interface est très simple, aussi ne nécessite-t-elle pas plus d'explications... :-) | ||
- | Pour afficher la liste des agents actifs on tape : | + | Pour afficher la liste des agents actifs on saisis dans un terminal : |
<file>/var/ossec/bin/agent_control -lc | <file>/var/ossec/bin/agent_control -lc | ||
Ligne 242: | Ligne 263: | ||
ID: 174, Name: lili3win, IP: 192.168.2.0/24, Active</file> | ID: 174, Name: lili3win, IP: 192.168.2.0/24, Active</file> | ||
- | Pour intérroger le status d'un agent on tape : | + | Pour interroger le status d'un agent on tape : |
<file>/var/ossec/bin/agent_control -i 002 | <file>/var/ossec/bin/agent_control -i 002 | ||
Ligne 260: | Ligne 281: | ||
===== Désinstallation ===== | ===== Désinstallation ===== | ||
- | Pour supprimer cette application, il vous faut supprimer les fichiers liés : | + | Pour supprimer cette application, il vous faut supprimer les fichiers liés, via le [[terminal]] : |
- | <file> | + | <code> |
sudo rm -rf /var/ossec | sudo rm -rf /var/ossec | ||
sudo rm -f /etc/init.d/ossec | sudo rm -f /etc/init.d/ossec | ||
sudo rm -f /etc/ossec-init.conf | sudo rm -f /etc/ossec-init.conf | ||
- | </file> | + | sudo deluser ossecm |
+ | sudo deluser ossecr | ||
+ | sudo delgroup ossec | ||
+ | </code> | ||
+ | |||
+ | |||
+ | =====Installation du Rootcheck OSSEC===== | ||
+ | Le rootcheck OSSEC est un outil puissant. N'appartenant pas à la logithèque il vous faudra le compiler. | ||
+ | Le tutorial présent sur le forum à la page :[[http://forum.ubuntu-fr.org/viewtopic.php?pid=3725713#p3725713]] vous expliquera facilement comment installer le Rootcheck et cela même si vous êtes débutant. | ||
===== Voir aussi ===== | ===== Voir aussi ===== | ||
Ligne 276: | Ligne 305: | ||
* **(en)** [[http://www.ossec.net/main/manual|Manuel officiel]] | * **(en)** [[http://www.ossec.net/main/manual|Manuel officiel]] | ||
- | * **(fr)** [[http://www.system-linux.eu/index.php?post/2009/10/29/Installation-et-configuration-d-Ossec|Aller plus loin]] | + | * **(en)** Howto ameliore sur OSSec (PDF) [[http://blog.savoirfairelinux.com/tutoriels/livre-gratuit-ossec-how-to-the-quick-and-dirty-way/]] |
+ | * **(fr)** [[https://www.system-linux.eu/index.php?post/2009/10/29/Installation-et-configuration-d-Ossec|Aller plus loin]] | ||
- | //Contributeurs : [[utilisateurs:naoli|naoli]]// | + | ---- |
+ | //Contributeurs : [[utilisateurs:naoli|naoli]], [[utilisateurs:MaryPopy]]//. | ||
- | // Basé sur [[http://ubuntuforums.org/showthread.php?t=919472|« Ubuntu Intrusion Detection »]] par bodhi.zazen.// | + | // Basé sur [[https://ubuntuforums.org/showthread.php?t=919472|« Ubuntu Intrusion Detection »]] par bodhi.zazen.// |