[Linux] Installation serveur et agent OSSEC

 

Installation serveur et agent OSSEC

Version de l’OS: 6.8 (minimal version)
Version d’Ossec: 2.8.3

Pré-requis
Voir l’article Préparation d’une machine Centos 6.x

 

 

 

Installer un compilateur

$ sudo yum install make gcc

Récupérer la source, dé-zipper et installer

$ wget https://bintray.com/artifact/download/ossec/ossec-hids/ossec-hids-2.8.3.tar.gz
$ tar zxf ossec-hids-2.8.3.tar.gz
$ cd ossec-hids-2.8.3
$ sudo ./install.sh

 

1.Installation serveur

Screenshot_2016-06-06-18-20-52

Choisir la langue d’installation, anglais par défaut

 

 

Screenshot_2016-06-06-18-21-26

Un bref recap qui prévient qu’il faut avoir préalablement installé un compilateur comme gcc

 

 

Screenshot_2016-06-06-18-21-52

Choisir le type d’installation, serveur, client ou autonome. choisir serveur

 

 

Screenshot_2016-06-06-18-22-16

Chemin par défaut, /var/ossec

 

 

Screenshot_2016-06-06-18-22-33

Pour l’alerte par émail, oui

 

 

Screenshot_2016-06-06-18-23-24

Entrer l’adresse émail

 

 

Screenshot_2016-06-06-18-24-04

Si le serveur SMTP est trouvé il s’affiche ci dessus

 

 

Screenshot_2016-06-06-18-24-22

Démarrage du démon OUI

 

 

Screenshot_2016-06-06-18-24-32

Démarrage moteur de détection OUI

 

 

Screenshot_2016-06-06-18-24-42

Démarrage la réponse active OUI

 

 

Screenshot_2016-06-06-18-25-29

Règle de par feu OUI

 

 

Screenshot_2016-06-06-18-25-53

Mettre des IP en liste blanche

 

 

Screenshot_2016-06-06-18-26-03

Activation du journal

 

 

Screenshot_2016-06-06-18-26-17

Récapitulatif avant installation

 

 

Screenshot_2016-06-06-18-31-38

Installation en cours

 

 

Screenshot_2016-06-06-18-32-37

Fin de l’installation, quelques infos ..

 

 

Screenshot_2016-06-06-18-32-57

Pour lancer ou redémarrer le service, /var/ossec/bin/ossec-control
Pour configurer les agents, /var/ossec/bin/manage_agents

 

 

ossec-manage-agent

Add un agent, nom, ip, id et extraire la clé pour authentifié l’agent distant.

 

 

2.Installation d’un agent

ossec-agents1

Pour ‘installation du client, sélectionner agent et spécifier l’adresse IP du serveur

 

 

ossec-agents2

Cocher oui et valider pour l’installation

 

 

ossec-agents3

Installation en cours ..

 

 

ossec-agents4

Quelques infos a la fin de l’install

 

 

ossec-agents5

Aller dans le répertoire d’ossec /var/ossec/bin et lancer le manager ./manager_agents
cliquer I et importer la clé précédemment généré sur le serveur

 

 

ossec-agents6

Vérifier les informations id, ip et nom et valider
démarrer le service ossec-control
répéter l’installation agent sur tous les serveurs.

 

 

Port iptables a ouvrir pour les agents

-A INPUT -p udp --dport 1514 -j ACCEPT
-A OUTPUT -p udp --dport 1514 -j ACCEPT

 

 

Visualiser les logs rapidement

$ sudo tail -F /var/ossec/logs/ossec.log

 

 

 

3.Installation d’un client web (Ossec-wui)

Télécharger et dézipper le module wui (web user interface)

 

$ wget https://github.com/ossec/ossec-wui/archive/0.9.tar.gz
$ tar -xzf 0.9.tar.gz

 

Installer les paquets Apache et PHP

$ sudo yum install httpd php-* -y

Déplacer le oosec-wui

$ mv ossec-wui-0.9/ ossec-wui
$ sudo mv ossec-wui /var/www/html/ossec-wui

 

Exécuter le setup

$ cd /var/www/html/ossec-wui
$ sudo ./setup.sh

 

Ajouter l’utilisateur apache groupe ossec

$ sudo gpasswd -a apache ossec

 

Modifier les permissions du répertoire tmp et changer le propriétaire

$ cd /var/ossec
$ sudo chmod 770 tmp/
$ sudo chgrp apache tmp/

 

Redémarrer ossec et démarrer apache

$ cd /var/ossec/bin/
$ sudo ./ossec-control restart
$ sudo /etc/init.d/httpd start

 

 

Lancer un navigateur web et accéder a l’interface IP ou FQDN/ossec-wui

ossec-wui

 

 

4.Installation client Windows

ossec-win

Télécharger la source

 

 

ossec-win2

Pour l’installation rien de spécial

 

 

ossec-win3

Mettre l’adresse du serveur et la clé généré

 

 

ossec-win4

voici les infos lié a la clé

 

 

ossec-win5

Démarrer le service Ossec-HIDS

 

 

ossec-win6

Rafraichir le status

 

 

 

Rating: 5.0/5. From 1 vote.
Please wait...

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.