Différences

Ci-dessous, les différences entre deux révisions de la page.

Lien vers cette vue comparative

Les deux révisions précédentes Révision précédente
Prochaine révision
Révision précédente
ossec [Le 30/11/2012, 11:11]
Zoulou.4556 [Installation manuelle]
ossec [Le 11/09/2022, 11:45] (Version actuelle)
moths-art Suppression des espaces en fin de ligne (détecté et corrigé via le bot wiki-corrector (https://forum.ubuntu-fr.org/viewtopic.php?id=2067892)
Ligne 1: Ligne 1:
-{{tag>​pare-feu ​surveillance ​réseau}}+{{tag>​pare-feu réseau}}
 ---- ----
  
 ====== Détecteur d'​intrusions OSSEC-HIDS ====== ====== Détecteur d'​intrusions OSSEC-HIDS ======
-{{ http://​www.ossec.net/​img/ossec_logo.jpg}} +{{ http://​www.ossec.net/​wp-content/uploads/​2012/​06/​ossec-hids.png}} 
-Cette page traite de la procédure à suivre afin d'​installer et d'​utiliser OSSEC, un détecteur d'​intrusion sur machine hôte : "​HIDS"​ ([[http://​fr.wikipedia.org/​wiki/​NIDS#​HIDS_.28IDS_machine.29|Host-based Intrusion Detection System]]). Ossec est l'un des HIDS le plus utilisés. Il est très facile d'​accès tant pour l'​installation que pour l'​utilisation.+Cette page traite de la procédure à suivre afin d'​installer et d'​utiliser OSSEC, un détecteur d'​intrusion sur machine hôte : "​HIDS"​ ([[wpfr>NIDS#​HIDS_.28IDS_machine.29|Host-based Intrusion Detection System]]). Ossec est l'un des HIDS le plus utilisés. Il est très facile d'​accès tant pour l'​installation que pour l'​utilisation.
  
-Pouvant réagir c'est également une IPS, [[http://​fr.wikipedia.org/​wiki/​Syst%C3%A8me_de_pr%C3%A9vention_d%27intrusion|Système de prévention d'​intrusion]] machine.+Pouvant réagirc'est également une IPS, [[wpfr>​Système_de_prévention_d'​intrusion|Système de prévention d'​intrusion]] machine.
  
 Pour en savoir plus sur ce qu'est un IDS, vous pouvez vous référer à [[http://​www.commentcamarche.net/​detection/​ids.php3|ce lien]], ou à [[wpfr>​NIDS|celui-là]]. Pour en savoir plus sur ce qu'est un IDS, vous pouvez vous référer à [[http://​www.commentcamarche.net/​detection/​ids.php3|ce lien]], ou à [[wpfr>​NIDS|celui-là]].
Ligne 23: Ligne 23:
 ===== Installation ===== ===== Installation =====
 ====Installation manuelle==== ====Installation manuelle====
-Malheureusement,​ OSSEC n'est pas dans les dépôts, il vous faudra donc vous rendre sur [[http://​www.ossec.net/​main/​downloads/​|le site d'​OSSEC]] et télécharger la dernière version. À l'​heure où ce tuto est écrit, il s'agit de la 2.5.1+Malheureusement,​ OSSEC n'est pas dans les dépôts, il vous faudra donc vous rendre sur [[http://​www.ossec.net/​?page_id=19|le site d'​OSSEC]] et télécharger la dernière version. À l'​heure où ce tuto est écrit, il s'agit de la 2.5.1
  
 Une fois le paquet téléchargé,​ placez-vous dans le répertoire de téléchargement et  continuez par Une fois le paquet téléchargé,​ placez-vous dans le répertoire de téléchargement et  continuez par
Ligne 34: Ligne 34:
 Parmi la liste de questions qu'on va vous poser, vous pouvez choisir la réponse par défaut dans tous les cas. Lorsqu'​on vous demande quel type d'​installation préférer, optez pour **local**. Parmi la liste de questions qu'on va vous poser, vous pouvez choisir la réponse par défaut dans tous les cas. Lorsqu'​on vous demande quel type d'​installation préférer, optez pour **local**.
  
-<note tip>​Quand on vous demande si vous souhaitez ajouter des IP dans la liste blanches, pensez à renseigner les IPs des ordinateurs de votre LAN, le cas échéant.</​note>​+<note tip>​Quand on vous demande si vous souhaitez ajouter des IP dans la liste blanche, pensez à renseigner les IPs des ordinateurs de votre LAN, le cas échéant.</​note>​
  
 Si vous souhaitez utiliser une interface graphique pour OSSEC, il vous faudra un serveur [[:​apache2]] en état de fonctionnement. ​ Si vous souhaitez utiliser une interface graphique pour OSSEC, il vous faudra un serveur [[:​apache2]] en état de fonctionnement. ​
Ligne 58: Ligne 58:
  
 ====Installation par dépot launchpad==== ====Installation par dépot launchpad====
-Pour [[lucid|lucid 10.04 LTS]], [[12.04_lts|Precise 12.04 LTS]]:​[[https://​launchpad.net/​~nicolas-zin/​+archive/​ossec-ubuntu|PPA]] (comment installer un [[ppa|PPA]]?​)+Pour [[lucid|lucid 10.04 LTS]], [[12.04_lts|Precise 12.04 LTS]]:​[[https://​launchpad.net/​~nicolas-zin/​+archive/​ossec-ubuntu|PPA]] (comment installer un [[ppa|PPA]]?​), __préférer l'​installation manuelle__
 ==== Erreur au lancement dans le navigateur ==== ==== Erreur au lancement dans le navigateur ====
-Si au lancement de la page web vous obtenez une erreur de type opendir failed (/​var/​ossec) et que vous avez modifé le répertoire d'​ossec ​l'​installation (/​home/​ossec par exemple, il faut éditer le fichier /​var/​www/​ossec/​ossec_conf.php et faire les changements suivants :+Si au lancement de la page web vous obtenez une erreur de type opendir failed (/​var/​ossec) et que vous avez modifé le répertoire d'​ossec ​à l'​installation (/​home/​ossec par exemple, il faut éditer le fichier /​var/​www/​ossec/​ossec_conf.php et faire les changements suivants :
 <​code>​ <​code>​
 /* Ossec directory */ /* Ossec directory */
Ligne 76: Ligne 76:
 Pour ajouter un fichier à surveiller, [[:​tutoriel:​comment_modifier_un_fichier|ouvrez le fichier]] **/​var/​ossec/​etc/​ossec.conf**. ​ Pour ajouter un fichier à surveiller, [[:​tutoriel:​comment_modifier_un_fichier|ouvrez le fichier]] **/​var/​ossec/​etc/​ossec.conf**. ​
  
-Recherchez syscheck dans ce document xml, et ajoutez sous <​directories>​ séparé d'une virgule les dossiers à ajouter ou rajoutez des lignes qui suivent cette forme : +Recherchez syscheck dans ce document xml, et ajoutez sous <​directories>​ séparé d'une virgule les dossiers à ajouter ou rajoutez des lignes qui suivent cette forme :
  
 <​code><​directories check_all="​yes">/​home/​ton_user/​ton_dossier,/​ton_autre_dossier</​directories></​code>​ <​code><​directories check_all="​yes">/​home/​ton_user/​ton_dossier,/​ton_autre_dossier</​directories></​code>​
  
-Par défaut OSSEC fait une analyse d'​intégrité toutes les 22h que vous remarquerez par cette valeur : **<​frequency>​79200</​frequency>​**. ​+Par défaut OSSEC fait une analyse d'​intégrité toutes les 22h que vous remarquerez par cette valeur : **<​frequency>​79200</​frequency>​**.
  
 **Voici un exemple d'​analyse en temps réel :** **Voici un exemple d'​analyse en temps réel :**
Ligne 124: Ligne 124:
  
 Toujour indiquer le yes. L'​activation se passe donc sous cette forme : Toujour indiquer le yes. L'​activation se passe donc sous cette forme :
-<​file><​directories check_sum="​yes" ​heck_size="​yes"​ check_owner="​yes"​ check_groupe="​yes"​ check_perm="​yes">/​home/​ton_user/​tes_dossiers</​directories></​file>​+<​file><​directories check_sum="​yes" ​check_size="​yes"​ check_owner="​yes"​ check_groupe="​yes"​ check_perm="​yes">/​home/​ton_user/​tes_dossiers</​directories></​file>​
 Cette forme est absolument égale à : Cette forme est absolument égale à :
 <​file><​directories check_all="​yes">/​home/​ton_user/​tes_dossiers</​directories></​file>​ <​file><​directories check_all="​yes">/​home/​ton_user/​tes_dossiers</​directories></​file>​
Ligne 131: Ligne 131:
 La balise **<​ignore>​** sert à exclure du contenu de l'​analyse. La balise **<​ignore>​** sert à exclure du contenu de l'​analyse.
  
-Vous trouverez des informations sur [[http://​forum.ubuntu-fr.org/​viewtopic.php?​id=404799|cette discussion du forum]].+Vous trouverez des informations sur [[https://​forum.ubuntu-fr.org/​viewtopic.php?​id=404799|cette discussion du forum]].
  
 ==== Visionner vos alertes en temps réel ==== ==== Visionner vos alertes en temps réel ====
Ligne 143: Ligne 143:
 ==== Ajouter un agent ==== ==== Ajouter un agent ====
  
-L'​avantage d'​OSSEC est de pouvoir monitorer des serveurs distants appelés agents. Pour les ajouter voici comment faire. ​+L'​avantage d'​OSSEC est de pouvoir monitorer des serveurs distants appelés agents. Pour les ajouter voici comment faire.
  
 On lance sur le serveur maître (celui qui monitorera les agents) la commande suivante : On lance sur le serveur maître (celui qui monitorera les agents) la commande suivante :
Ligne 174: Ligne 174:
 </​code>​ </​code>​
  
-Voila l'​agent est ajouté. Seulement pour sécuriser les transferts il faut créer un clé de confiance entre les deux entités. ​+Voila l'​agent est ajouté. Seulement pour sécuriser les transferts il faut créer un clé de confiance entre les deux entités.
  
 Toujours du coté serveur on tape : Toujours du coté serveur on tape :
Ligne 202: Ligne 202:
 </​code>​ </​code>​
  
-Il faut copier cette clé et la coller dans l'​agent. ​+Il faut copier cette clé et la coller dans l'​agent.
  
 Maintenant du coté agent on fait ceci : Maintenant du coté agent on fait ceci :
Ligne 287: Ligne 287:
 sudo rm -f /​etc/​init.d/​ossec sudo rm -f /​etc/​init.d/​ossec
 sudo rm -f /​etc/​ossec-init.conf sudo rm -f /​etc/​ossec-init.conf
 +sudo deluser ossecm
 +sudo deluser ossecr
 +sudo delgroup ossec
 </​code>​ </​code>​
  
Ligne 294: Ligne 297:
  
 =====Installation du Rootcheck OSSEC===== =====Installation du Rootcheck OSSEC=====
-Le rootcheck OSSEC est un outil puissant. N'​appartenant pas à la logitach ​il vous faudra le compiler.+Le rootcheck OSSEC est un outil puissant. N'​appartenant pas à la logithèque ​il vous faudra le compiler.
 Le tutorial présent sur le forum à la page :​[[http://​forum.ubuntu-fr.org/​viewtopic.php?​pid=3725713#​p3725713]] vous expliquera facilement comment installer le Rootcheck et cela même si vous êtes débutant. Le tutorial présent sur le forum à la page :​[[http://​forum.ubuntu-fr.org/​viewtopic.php?​pid=3725713#​p3725713]] vous expliquera facilement comment installer le Rootcheck et cela même si vous êtes débutant.
  
Ligne 302: Ligne 305:
  
   * **(en)** [[http://​www.ossec.net/​main/​manual|Manuel officiel]]   * **(en)** [[http://​www.ossec.net/​main/​manual|Manuel officiel]]
-  * **(fr)** [[http://​www.system-linux.eu/​index.php?​post/​2009/​10/​29/​Installation-et-configuration-d-Ossec|Aller plus loin]]+  * **(en)** Howto ameliore sur OSSec (PDF) [[http://​blog.savoirfairelinux.com/​tutoriels/​livre-gratuit-ossec-how-to-the-quick-and-dirty-way/​]] 
 +  * **(fr)** [[https://​www.system-linux.eu/​index.php?​post/​2009/​10/​29/​Installation-et-configuration-d-Ossec|Aller plus loin]]
  
 ---- ----
 //​Contributeurs : [[utilisateurs:​naoli|naoli]],​ [[utilisateurs:​MaryPopy]]//​. //​Contributeurs : [[utilisateurs:​naoli|naoli]],​ [[utilisateurs:​MaryPopy]]//​.
  
-// Basé sur [[http://​ubuntuforums.org/​showthread.php?​t=919472|« Ubuntu Intrusion Detection »]] par bodhi.zazen.//​+// Basé sur [[https://​ubuntuforums.org/​showthread.php?​t=919472|« Ubuntu Intrusion Detection »]] par bodhi.zazen.//​
  • ossec.1354270279.txt.gz
  • Dernière modification: Le 30/11/2012, 11:11
  • par Zoulou.4556