Installation serveur et agent OSSEC
Version de l’OS: 6.8 (minimal version)
Version d’Ossec: 2.8.3
Pré-requis
Voir l’article Préparation d’une machine Centos 6.x
Installer un compilateur
|
1 |
$ sudo yum install make gcc |
Récupérer la source, dé-zipper et installer
|
1 2 3 4 |
$ wget https://bintray.com/artifact/download/ossec/ossec-hids/ossec-hids-2.8.3.tar.gz $ tar zxf ossec-hids-2.8.3.tar.gz $ cd ossec-hids-2.8.3 $ sudo ./install.sh |
1.Installation serveur
Choisir la langue d’installation, anglais par défaut
Un bref recap qui prévient qu’il faut avoir préalablement installé un compilateur comme gcc
Choisir le type d’installation, serveur, client ou autonome. choisir serveur
Chemin par défaut, /var/ossec
Pour l’alerte par émail, oui
Entrer l’adresse émail
Si le serveur SMTP est trouvé il s’affiche ci dessus
Démarrage du démon OUI
Démarrage moteur de détection OUI
Démarrage la réponse active OUI
Règle de par feu OUI
Mettre des IP en liste blanche
Activation du journal
Récapitulatif avant installation
Installation en cours
Fin de l’installation, quelques infos ..
Pour lancer ou redémarrer le service, /var/ossec/bin/ossec-control
Pour configurer les agents, /var/ossec/bin/manage_agents
Add un agent, nom, ip, id et extraire la clé pour authentifié l’agent distant.
2.Installation d’un agent
Pour ‘installation du client, sélectionner agent et spécifier l’adresse IP du serveur
Cocher oui et valider pour l’installation
Installation en cours ..
Quelques infos a la fin de l’install
Aller dans le répertoire d’ossec /var/ossec/bin et lancer le manager ./manager_agents
cliquer I et importer la clé précédemment généré sur le serveur
Vérifier les informations id, ip et nom et valider
démarrer le service ossec-control
répéter l’installation agent sur tous les serveurs.
Port iptables a ouvrir pour les agents
|
1 2 |
-A INPUT -p udp --dport 1514 -j ACCEPT -A OUTPUT -p udp --dport 1514 -j ACCEPT |
Visualiser les logs rapidement
|
1 |
$ sudo tail -F /var/ossec/logs/ossec.log |
3.Installation d’un client web (Ossec-wui)
Télécharger et dézipper le module wui (web user interface)
|
1 2 |
$ wget https://github.com/ossec/ossec-wui/archive/0.9.tar.gz $ tar -xzf 0.9.tar.gz |
Installer les paquets Apache et PHP
|
1 |
$ sudo yum install httpd php-* -y |
Déplacer le oosec-wui
|
1 2 |
$ mv ossec-wui-0.9/ ossec-wui $ sudo mv ossec-wui /var/www/html/ossec-wui |
Exécuter le setup
|
1 2 |
$ cd /var/www/html/ossec-wui $ sudo ./setup.sh |
Ajouter l’utilisateur apache groupe ossec
|
1 |
$ sudo gpasswd -a apache ossec |
Modifier les permissions du répertoire tmp et changer le propriétaire
|
1 2 3 |
$ cd /var/ossec $ sudo chmod 770 tmp/ $ sudo chgrp apache tmp/ |
Redémarrer ossec et démarrer apache
|
1 2 3 |
$ cd /var/ossec/bin/ $ sudo ./ossec-control restart $ sudo /etc/init.d/httpd start |
Lancer un navigateur web et accéder a l’interface IP ou FQDN/ossec-wui
4.Installation client Windows
Télécharger la source
Pour l’installation rien de spécial
Mettre l’adresse du serveur et la clé généré
voici les infos lié a la clé
Démarrer le service Ossec-HIDS
Rafraichir le status