Différences

Ci-dessous, les différences entre deux révisions de la page.

Lien vers cette vue comparative

Les deux révisions précédentes Révision précédente
Prochaine révision
Révision précédente
ossec [Le 26/08/2010, 14:30]
188.62.43.21
ossec [Le 11/09/2022, 11:45] (Version actuelle)
moths-art Suppression des espaces en fin de ligne (détecté et corrigé via le bot wiki-corrector (https://forum.ubuntu-fr.org/viewtopic.php?id=2067892)
Ligne 1: Ligne 1:
-{{tag>​pare-feu ​surveillance ​réseau}}+{{tag>​pare-feu réseau}}
 ---- ----
  
 ====== Détecteur d'​intrusions OSSEC-HIDS ====== ====== Détecteur d'​intrusions OSSEC-HIDS ======
-{{http://​www.ossec.net/​img/ossec_logo.jpg  ​}} +{{ http://​www.ossec.net/​wp-content/uploads/​2012/​06/​ossec-hids.png}} 
-Cette page traite de la procédure à suivre afin d'​installer et d'​utiliser OSSEC, un détecteur d'​intrusion sur machine hôte : "​HIDS"​ ([[http://​fr.wikipedia.org/​wiki/​NIDS#​HIDS_.28IDS_machine.29|Host-based Intrusion Detection System]]). Ossec est l'un des HIDS le plus utilisés. Il est très facile d'​accès tant pour l'​installation que pour l'​utilisation.+Cette page traite de la procédure à suivre afin d'​installer et d'​utiliser OSSEC, un détecteur d'​intrusion sur machine hôte : "​HIDS"​ ([[wpfr>NIDS#​HIDS_.28IDS_machine.29|Host-based Intrusion Detection System]]). Ossec est l'un des HIDS le plus utilisés. Il est très facile d'​accès tant pour l'​installation que pour l'​utilisation.
  
-Pouvant réagir c'est également une IPS, [[http://​fr.wikipedia.org/​wiki/​Syst%C3%A8me_de_pr%C3%A9vention_d%27intrusion|Système de prévention d'​intrusion]] machine.+Pouvant réagirc'est également une IPS, [[wpfr>​Système_de_prévention_d'​intrusion|Système de prévention d'​intrusion]] machine.
  
-Pour en savoir plus sur ce qu'est un IDS, vous pouvez vous référer à [[http://​www.commentcamarche.net/​detection/​ids.php3|ce lien]], ou à [[http://​fr.wikipedia.org/​wiki/​NIDS|celui-là]].+Pour en savoir plus sur ce qu'est un IDS, vous pouvez vous référer à [[http://​www.commentcamarche.net/​detection/​ids.php3|ce lien]], ou à [[wpfr>NIDS|celui-là]].
  
 Voir en complément : Voir en complément :
Ligne 18: Ligne 18:
   * Disposer des [[:​sudo|droits d'​administration]] ;   * Disposer des [[:​sudo|droits d'​administration]] ;
   * Disposer d'une connexion à Internet configurée et activée ;   * Disposer d'une connexion à Internet configurée et activée ;
-  * (Pour l'​interface graphique uniquement) Disposer d'[[http://​doc.ubuntu-fr.org/​apache2|apache2]].+  * (Pour l'​interface graphique uniquement) Disposer d'​[[:​apache2]].
  
  
 ===== Installation ===== ===== Installation =====
- +====Installation manuelle==== 
-Malheureusement,​ OSSEC n'est pas dans les dépôts, il vous faudra donc vous rendre sur [[http://​www.ossec.net/​main/​downloads/​|le site d'​OSSEC]] et télécharger la dernière version. À l'​heure où ce tuto est écrit, il s'agit de la 2.2.+Malheureusement,​ OSSEC n'est pas dans les dépôts, il vous faudra donc vous rendre sur [[http://​www.ossec.net/​?page_id=19|le site d'​OSSEC]] et télécharger la dernière version. À l'​heure où ce tuto est écrit, il s'agit de la 2.5.1
  
 Une fois le paquet téléchargé,​ placez-vous dans le répertoire de téléchargement et  continuez par Une fois le paquet téléchargé,​ placez-vous dans le répertoire de téléchargement et  continuez par
  
-<file>wget http://​www.ossec.net/​files/​ossec-hids-2.2.tar.gz +<code>wget http://​www.ossec.net/​files/​ossec-hids-2.5.1.tar.gz 
-tar xzvf ossec-hids-2.2.tar.gz +tar xzvf ossec-hids-2.5.1.tar.gz 
-cd ossec-hids-2.2 +cd ossec-hids-2.5.1 
-sudo ./​install.sh</​file>+sudo ./​install.sh</​code>
  
 Parmi la liste de questions qu'on va vous poser, vous pouvez choisir la réponse par défaut dans tous les cas. Lorsqu'​on vous demande quel type d'​installation préférer, optez pour **local**. Parmi la liste de questions qu'on va vous poser, vous pouvez choisir la réponse par défaut dans tous les cas. Lorsqu'​on vous demande quel type d'​installation préférer, optez pour **local**.
  
-<note tip>​Quand on vous demande si vous souhaitez ajouter des IP dans la liste blanches, pensez à renseigner les IPs des ordinateurs de votre LAN, le cas échéant.</​note>​+<note tip>​Quand on vous demande si vous souhaitez ajouter des IP dans la liste blanche, pensez à renseigner les IPs des ordinateurs de votre LAN, le cas échéant.</​note>​
  
-Si vous souhaitez utiliser une interface graphique pour OSSEC, il vous faudra un serveur [[http://​doc.ubuntu-fr.org/​apache2|apache2]] en état de fonctionnement. ​+Si vous souhaitez utiliser une interface graphique pour OSSEC, il vous faudra un serveur [[:​apache2]] en état de fonctionnement. ​
  
-Si c'est le cas, rendez-vous à nouveau sur le site d'​OSSEC et téléchargez la dernière version de la WebInterface dans** /​var/​www/​**. Ensuite :+Si c'est le cas, rendez-vous à nouveau sur le site d'​OSSEC et téléchargez la dernière version de la [[http://​www.ossec.net/​wiki/​index.php/​OSSECWUI:​Install|WebInterface]] dans** /​var/​www/​**. Ensuite :
  
  
-<file>cd /var/www+<code>cd /var/www
 sudo tar xzvf ~/​ossec-wui-0.3.tar.gz sudo tar xzvf ~/​ossec-wui-0.3.tar.gz
 sudo mv ossec-wui* ossec sudo mv ossec-wui* ossec
Ligne 50: Ligne 50:
 cd /var/www cd /var/www
 sudo chown -R www-data.www-data ossec sudo chown -R www-data.www-data ossec
-sudo usermod -G ossec -a www-data</​file>+sudo usermod -G ossec -a www-data</​code>
  
 L'​installation est terminée, vous pouvez maintenant relancer apache et lancer OSSEC : L'​installation est terminée, vous pouvez maintenant relancer apache et lancer OSSEC :
  
-<file>sudo /​etc/​init.d/​apache2 restart +<code>sudo /​etc/​init.d/​apache2 restart 
-sudo /​etc/​init.d/​ossec start</file>+sudo /​etc/​init.d/​ossec start</code>
  
 +====Installation par dépot launchpad====
 +Pour [[lucid|lucid 10.04 LTS]], [[12.04_lts|Precise 12.04 LTS]]:​[[https://​launchpad.net/​~nicolas-zin/​+archive/​ossec-ubuntu|PPA]] (comment installer un [[ppa|PPA]]?​),​ __préférer l'​installation manuelle__
 ==== Erreur au lancement dans le navigateur ==== ==== Erreur au lancement dans le navigateur ====
-Si au lancement de la page web vous obtenez une erreur de type opendir failed (/​var/​ossec) et que vous avez modifé le répertoire d'​ossec ​l'​installation (/​home/​ossec par exemple, il faut éditer le fichier /​var/​www/​ossec/​ossec_conf.php et faire les changements suivants : +Si au lancement de la page web vous obtenez une erreur de type opendir failed (/​var/​ossec) et que vous avez modifé le répertoire d'​ossec ​à l'​installation (/​home/​ossec par exemple, il faut éditer le fichier /​var/​www/​ossec/​ossec_conf.php et faire les changements suivants : 
-<file>+<code>
 /* Ossec directory */ /* Ossec directory */
 $ossec_dir="/​home/​ossec";​ $ossec_dir="/​home/​ossec";​
-</file+</code
  
  
 ===== Configuration ===== ===== Configuration =====
  
-Il n'y a pas grand chose à faire pour configurer OSSEC. Vous pouvez toutefois jeter un oeil au fichier de configuration :+Il n'y a pas grand chose à faire pour configurer OSSEC. Vous pouvez toutefois ​[[:​tutoriel:​comment_modifier_un_fichier|jeter un oeil]] au fichier de configuration ​**/​var/​ossec/​etc/​ossec.conf**,​ ainsi qu'au [[http://​www.ossec.net/​main/​manual/#​config|manuel (anglais)]] si vous souhaitez tout paramétrer.
  
-<​file>​gksudo gedit /​var/​ossec/​etc/​ossec.conf</​file>​+===== Ajout de surveillance dossier en temps réel =====
  
-ainsi qu'au [[http://​www.ossec.net/​main/​manual/#​config|manuel]] si vous souhaitez tout paramétrer. 
  
-===== Ajout de surveillance dossier en temps réel =====+Pour ajouter un fichier à surveiller, [[:​tutoriel:​comment_modifier_un_fichier|ouvrez le fichier]] **/​var/​ossec/​etc/​ossec.conf**. ​
  
-Pour ajouter un fichier à surveiller ouvrez : +Recherchez ​syscheck dans ce document xmlet ajoutez sous <​directories>​ séparé d'une virgule les dossiers à ajouter ou rajoutez des lignes qui suivent cette forme :
-<​code>​sudo gedit /​var/​ossec/​etc/​ossec.conf</​code>​ +
-Recherche ​syscheck dans ce document xml et ajoutez sous <​directories>​ séparé d'une virgule les dossiers à ajouter ou rajoutez des lignes qui suivent cette forme : +
  
-<file><​directories check_all="​yes">/​home/​ton_user/​tes_dossiers</​directories></​file>+<code><​directories check_all="​yes">/​home/​ton_user/​ton_dossier,/​ton_autre_dossier</​directories></​code> 
 + 
 +Par défaut OSSEC fait une analyse d'​intégrité toutes les 22h que vous remarquerez par cette valeur : **<​frequency>​79200</​frequency>**. 
 + 
 +**Voici un exemple d'​analyse en temps réel :** 
 + 
 +Ajouter **Firefox et Filezilla**... (Il est conseillé d'​avoir Quad de 2.8 GHz minimum pour appliquer cet exemple.) Cela donne :
  
-Par **exemple** j'ai rajouté **Firefox et Filezilla** avec une surveillance **en temps réelle.**Celà donne :+<​code><​directories check_all="​yes"​ realtime="​yes">/​home/​marypopy/​.mozilla,/​home/​marypopy/​.filezilla</​directories></​code>​ 
 +(Remplacer "​marypopy"​ par votre identifiant)
  
-<file><​directories check_all="​yes"​ realtime="​yes"​>/home/marypopy/.mozilla,/home/​marypopy/​.filezilla</directories></file>+Mise à jour de la base pour la vérification d'​intégrité 
 +<code>sudo /var/ossec/bin/syscheck_update -a</code> 
 +Et 
 +<​code>​sudo /​var/​ossec/​bin/​syscheck_update -l</code>
  
 Suite à une modification,​ relancez OSSEC Suite à une modification,​ relancez OSSEC
-<​code>​sudo /​var/​ossec/​bin/​ossec-control ​start</​code>​+<​code>​sudo /​var/​ossec/​bin/​ossec-control ​restart</​code>​
 Si vous obtenez un message de ce type c'est ok : Si vous obtenez un message de ce type c'est ok :
 <​code>​Starting OSSEC HIDS v2.4.1 (by Trend Micro Inc.)... <​code>​Starting OSSEC HIDS v2.4.1 (by Trend Micro Inc.)...
Ligne 107: Ligne 116:
 ==== Configurer le <​syscheck>​ aux petits oignons. ==== ==== Configurer le <​syscheck>​ aux petits oignons. ====
  
-A la place de "​check_all"​ qui active toutes les actions ​que je vais énumérer, vous pourriez préférer les activer séparément ​celons ​vos intérêts.+A la place de "​check_all"​ qui active toutes les actions ​énumérées ci-dessous, vous pourriez préférer les activer séparément ​selon vos besoins.
  
-//]check_sum// vérifications selon sommes de contrôle +  * //​check_sum//​ vérifications selon sommes de contrôle 
-//​check_size//​ vérification sur la taille des fichiers +  ​* ​//​check_size//​ vérification sur la taille des fichiers 
-//​check_owner//​ vérification basée sur le changement de propriétaire +  ​* ​//​check_owner//​ vérification basée sur le changement de propriétaire 
-//​check_perm//​ vérification basée sur le changement de permission+  ​* ​//​check_perm//​ vérification basée sur le changement de permission
  
 Toujour indiquer le yes. L'​activation se passe donc sous cette forme : Toujour indiquer le yes. L'​activation se passe donc sous cette forme :
-<​file><​directories check_sum="​yes" ​heck_size="​yes"​ check_owner="​yes"​ check_groupe="​yes"​ check_perm="​yes">/​home/​ton_user/​tes_dossiers</​directories></​file>​+<​file><​directories check_sum="​yes" ​check_size="​yes"​ check_owner="​yes"​ check_groupe="​yes"​ check_perm="​yes">/​home/​ton_user/​tes_dossiers</​directories></​file>​
 Cette forme est absolument égale à : Cette forme est absolument égale à :
 <​file><​directories check_all="​yes">/​home/​ton_user/​tes_dossiers</​directories></​file>​ <​file><​directories check_all="​yes">/​home/​ton_user/​tes_dossiers</​directories></​file>​
 Ensuite "​yes"​ "​no"​ équivaut à un bouton on ou off Ensuite "​yes"​ "​no"​ équivaut à un bouton on ou off
 +
 +La balise **<​ignore>​** sert à exclure du contenu de l'​analyse.
 +
 +Vous trouverez des informations sur [[https://​forum.ubuntu-fr.org/​viewtopic.php?​id=404799|cette discussion du forum]].
 +
 +==== Visionner vos alertes en temps réel ====
 +
 +
 +Visionner les alertes en temps réel :
 +<​code>​sudo tail -f /​var/​ossec/​logs/​alerts/​alerts.log</​code>​
 +ou
 +<​code>​sudo tail -f /​var/​ossec/​logs/​ossec.log</​code>​
  
 ==== Ajouter un agent ==== ==== Ajouter un agent ====
  
-L'​avantage d'​OSSEC est de pouvoir monitorer des serveurs distants appelés agents. Pour les ajouter voici comment faire. ​+L'​avantage d'​OSSEC est de pouvoir monitorer des serveurs distants appelés agents. Pour les ajouter voici comment faire.
  
 On lance sur le serveur maître (celui qui monitorera les agents) la commande suivante : On lance sur le serveur maître (celui qui monitorera les agents) la commande suivante :
Ligne 153: Ligne 174:
 </​code>​ </​code>​
  
-Voila l'​agent est ajouté. Seulement pour sécuriser les transferts il faut créer un clé de confiance entre les deux entités. ​+Voila l'​agent est ajouté. Seulement pour sécuriser les transferts il faut créer un clé de confiance entre les deux entités.
  
 Toujours du coté serveur on tape : Toujours du coté serveur on tape :
Ligne 181: Ligne 202:
 </​code>​ </​code>​
  
-Il faut copier cette clé et la coller dans l'​agent. ​+Il faut copier cette clé et la coller dans l'​agent.
  
 Maintenant du coté agent on fait ceci : Maintenant du coté agent on fait ceci :
Ligne 226: Ligne 247:
 ===== Utilisation===== ===== Utilisation=====
  
-Pour vous connecter à l'​interface graphique, ​tappez ​ceci dans votre navigateur :+Pour vous connecter à l'​interface graphique, ​tapez ceci dans votre navigateur :
  
-<​file>​http://​votre_ip_locale/​ossec</​file>​+http://​votre_ip_locale/​ossec
  
 L'​interface est très simple, aussi ne nécessite-t-elle pas plus d'​explications... :-) L'​interface est très simple, aussi ne nécessite-t-elle pas plus d'​explications... :-)
  
-Pour afficher la liste des agents actifs on tape :+Pour afficher la liste des agents actifs on saisis dans un terminal ​:
  
 <​file>/​var/​ossec/​bin/​agent_control -lc <​file>/​var/​ossec/​bin/​agent_control -lc
Ligne 242: Ligne 263:
 ID: 174, Name: lili3win, IP: 192.168.2.0/​24,​ Active</​file>​ ID: 174, Name: lili3win, IP: 192.168.2.0/​24,​ Active</​file>​
  
-Pour intérroger ​le status d'un agent on tape :+Pour interroger ​le status d'un agent on tape :
 <​file>/​var/​ossec/​bin/​agent_control -i 002 <​file>/​var/​ossec/​bin/​agent_control -i 002
  
Ligne 260: Ligne 281:
 ===== Désinstallation ===== ===== Désinstallation =====
  
-Pour supprimer cette application,​ il vous faut supprimer les fichiers liés :+Pour supprimer cette application,​ il vous faut supprimer les fichiers liés, via le [[terminal]] ​:
  
-<file>+<code>
 sudo rm -rf /var/ossec sudo rm -rf /var/ossec
 sudo rm -f /​etc/​init.d/​ossec sudo rm -f /​etc/​init.d/​ossec
 sudo rm -f /​etc/​ossec-init.conf sudo rm -f /​etc/​ossec-init.conf
-</file>+sudo deluser ossecm 
 +sudo deluser ossecr 
 +sudo delgroup ossec 
 +</code>
  
  
  
 +
 +
 +=====Installation du Rootcheck OSSEC=====
 +Le rootcheck OSSEC est un outil puissant. N'​appartenant pas à la logithèque il vous faudra le compiler.
 +Le tutorial présent sur le forum à la page :​[[http://​forum.ubuntu-fr.org/​viewtopic.php?​pid=3725713#​p3725713]] vous expliquera facilement comment installer le Rootcheck et cela même si vous êtes débutant.
  
 ===== Voir aussi ===== ===== Voir aussi =====
Ligne 276: Ligne 305:
  
   * **(en)** [[http://​www.ossec.net/​main/​manual|Manuel officiel]]   * **(en)** [[http://​www.ossec.net/​main/​manual|Manuel officiel]]
-  * **(fr)** [[http://​www.system-linux.eu/​index.php?​post/​2009/​10/​29/​Installation-et-configuration-d-Ossec|Aller plus loin]]+  * **(en)** Howto ameliore sur OSSec (PDF) [[http://​blog.savoirfairelinux.com/​tutoriels/​livre-gratuit-ossec-how-to-the-quick-and-dirty-way/​]] 
 +  * **(fr)** [[https://​www.system-linux.eu/​index.php?​post/​2009/​10/​29/​Installation-et-configuration-d-Ossec|Aller plus loin]]
  
-//​Contributeurs : [[utilisateurs:​naoli|naoli]]//​+---- 
 +//​Contributeurs : [[utilisateurs:​naoli|naoli]], [[utilisateurs:​MaryPopy]]//.
  
-// Basé sur [[http://​ubuntuforums.org/​showthread.php?​t=919472|« Ubuntu Intrusion Detection »]] par bodhi.zazen.//​+// Basé sur [[https://​ubuntuforums.org/​showthread.php?​t=919472|« Ubuntu Intrusion Detection »]] par bodhi.zazen.//​
  • ossec.1282825805.txt.gz
  • Dernière modification: Le 26/08/2010, 14:30
  • (modification externe)