Différences

Ci-dessous, les différences entre deux révisions de la page.

Lien vers cette vue comparative

Les deux révisions précédentes Révision précédente
Prochaine révision 		Révision précédente
ossec [Le 08/09/2010, 09:12]
213.221.130.109 		ossec [Le 11/09/2022, 11:45] (Version actuelle)
moths-art Suppression des espaces en fin de ligne (détecté et corrigé via le bot wiki-corrector (https://forum.ubuntu-fr.org/viewtopic.php?id=2067892)
Ligne 1: Ligne 1:
-{{tag>​pare-feu ​surveillance ​réseau}}+{{tag>​pare-feu réseau}}
 ---- ----
  
 ====== Détecteur d'​intrusions OSSEC-HIDS ====== ====== Détecteur d'​intrusions OSSEC-HIDS ======
-{{ http://​www.ossec.net/​img/ossec_logo.jpg}} +{{ http://​www.ossec.net/​wp-content/uploads/​2012/​06/​ossec-hids.png}} 
-Cette page traite de la procédure à suivre afin d'​installer et d'​utiliser OSSEC, un détecteur d'​intrusion sur machine hôte : "​HIDS"​ ([[http://​fr.wikipedia.org/​wiki/​NIDS#​HIDS_.28IDS_machine.29|Host-based Intrusion Detection System]]). Ossec est l'un des HIDS le plus utilisés. Il est très facile d'​accès tant pour l'​installation que pour l'​utilisation.+Cette page traite de la procédure à suivre afin d'​installer et d'​utiliser OSSEC, un détecteur d'​intrusion sur machine hôte : "​HIDS"​ ([[wpfr>NIDS#​HIDS_.28IDS_machine.29|Host-based Intrusion Detection System]]). Ossec est l'un des HIDS le plus utilisés. Il est très facile d'​accès tant pour l'​installation que pour l'​utilisation.
  
-Pouvant réagir c'est également une IPS, [[http://​fr.wikipedia.org/​wiki/​Syst%C3%A8me_de_pr%C3%A9vention_d%27intrusion|Système de prévention d'​intrusion]] machine.+Pouvant réagirc'est également une IPS, [[wpfr>​Système_de_prévention_d'​intrusion|Système de prévention d'​intrusion]] machine.
  
 Pour en savoir plus sur ce qu'est un IDS, vous pouvez vous référer à [[http://​www.commentcamarche.net/​detection/​ids.php3|ce lien]], ou à [[wpfr>​NIDS|celui-là]]. Pour en savoir plus sur ce qu'est un IDS, vous pouvez vous référer à [[http://​www.commentcamarche.net/​detection/​ids.php3|ce lien]], ou à [[wpfr>​NIDS|celui-là]].
Ligne 22: Ligne 22:
  
 ===== Installation ===== ===== Installation =====
- +====Installation manuelle==== 
-Malheureusement,​ OSSEC n'est pas dans les dépôts, il vous faudra donc vous rendre sur [[http://​www.ossec.net/​main/​downloads/​|le site d'​OSSEC]] et télécharger la dernière version. À l'​heure où ce tuto est écrit, il s'agit de la 2.2.+Malheureusement,​ OSSEC n'est pas dans les dépôts, il vous faudra donc vous rendre sur [[http://​www.ossec.net/​?page_id=19|le site d'​OSSEC]] et télécharger la dernière version. À l'​heure où ce tuto est écrit, il s'agit de la 2.5.1
  
 Une fois le paquet téléchargé,​ placez-vous dans le répertoire de téléchargement et  continuez par Une fois le paquet téléchargé,​ placez-vous dans le répertoire de téléchargement et  continuez par
  
-<​code>​wget http://​www.ossec.net/​files/​ossec-hids-2.2.tar.gz +<​code>​wget http://​www.ossec.net/​files/​ossec-hids-2.5.1.tar.gz 
-tar xzvf ossec-hids-2.2.tar.gz +tar xzvf ossec-hids-2.5.1.tar.gz 
-cd ossec-hids-2.2+cd ossec-hids-2.5.1
 sudo ./​install.sh</​code>​ sudo ./​install.sh</​code>​
  
 Parmi la liste de questions qu'on va vous poser, vous pouvez choisir la réponse par défaut dans tous les cas. Lorsqu'​on vous demande quel type d'​installation préférer, optez pour **local**. Parmi la liste de questions qu'on va vous poser, vous pouvez choisir la réponse par défaut dans tous les cas. Lorsqu'​on vous demande quel type d'​installation préférer, optez pour **local**.
  
-<note tip>​Quand on vous demande si vous souhaitez ajouter des IP dans la liste blanches, pensez à renseigner les IPs des ordinateurs de votre LAN, le cas échéant.</​note>​+<note tip>​Quand on vous demande si vous souhaitez ajouter des IP dans la liste blanche, pensez à renseigner les IPs des ordinateurs de votre LAN, le cas échéant.</​note>​
  
 Si vous souhaitez utiliser une interface graphique pour OSSEC, il vous faudra un serveur [[:​apache2]] en état de fonctionnement. ​ Si vous souhaitez utiliser une interface graphique pour OSSEC, il vous faudra un serveur [[:​apache2]] en état de fonctionnement. ​
  
-Si c'est le cas, rendez-vous à nouveau sur le site d'​OSSEC et téléchargez la dernière version de la WebInterface dans** /​var/​www/​**. Ensuite :+Si c'est le cas, rendez-vous à nouveau sur le site d'​OSSEC et téléchargez la dernière version de la [[http://​www.ossec.net/​wiki/​index.php/​OSSECWUI:​Install|WebInterface]] dans** /​var/​www/​**. Ensuite :
  
  
Ligne 57: Ligne 57:
 sudo /​etc/​init.d/​ossec start</​code>​ sudo /​etc/​init.d/​ossec start</​code>​
  
 +====Installation par dépot launchpad====
 +Pour [[lucid|lucid 10.04 LTS]], [[12.04_lts|Precise 12.04 LTS]]:​[[https://​launchpad.net/​~nicolas-zin/​+archive/​ossec-ubuntu|PPA]] (comment installer un [[ppa|PPA]]?​),​ __préférer l'​installation manuelle__
 ==== Erreur au lancement dans le navigateur ==== ==== Erreur au lancement dans le navigateur ====
-Si au lancement de la page web vous obtenez une erreur de type opendir failed (/​var/​ossec) et que vous avez modifé le répertoire d'​ossec ​l'​installation (/​home/​ossec par exemple, il faut éditer le fichier /​var/​www/​ossec/​ossec_conf.php et faire les changements suivants :+Si au lancement de la page web vous obtenez une erreur de type opendir failed (/​var/​ossec) et que vous avez modifé le répertoire d'​ossec ​à l'​installation (/​home/​ossec par exemple, il faut éditer le fichier /​var/​www/​ossec/​ossec_conf.php et faire les changements suivants :
 <​code>​ <​code>​
 /* Ossec directory */ /* Ossec directory */
Ligne 70: Ligne 72:
  
 ===== Ajout de surveillance dossier en temps réel ===== ===== Ajout de surveillance dossier en temps réel =====
-Par MaryPopy 
  
-Pour ajouter un fichier à surveiller, [[:​tutoriel:​comment_modifier_un_fichier|ouvrez le fichier]] **/​var/​ossec/​etc/​ossec.conf**. 
  
-Recherchez syscheck dans ce document xml, et ajoutez sous <​directories>​ séparé d'une virgule les dossiers à ajouter ​ou rajoutez des lignes qui suivent cette forme +Pour ajouter ​un fichier à surveiller, [[:tutoriel:comment_modifier_un_fichier|ouvrez le fichier]] **/​var/​ossec/​etc/​ossec.conf**. ​
  
-<file><​directories check_all="​yes">/​home/​ton_user/​tes_dossiers</​directories></​file>+Recherchez syscheck dans ce document xml, et ajoutez sous <directories>​ séparé d'une virgule les dossiers à ajouter ou rajoutez des lignes qui suivent cette forme : 
 + 
 +<code><​directories check_all="​yes">/​home/​ton_user/​ton_dossier,/​ton_autre_dossier</​directories></​code> 
 + 
 +Par défaut OSSEC fait une analyse d'​intégrité toutes les 22h que vous remarquerez par cette valeur : **<​frequency>​79200</​frequency>**. 
 + 
 +**Voici un exemple d'​analyse en temps réel :**
  
-Ajouter **Firefox et Filezilla** ​avec une surveillance **en temps réel.**. (Je conseille ​Quad de 2.8 GHz minimum pour appliquer cet exemple.) Cela donne :+Ajouter **Firefox et Filezilla**... (Il est conseillé d'​avoir ​Quad de 2.8 GHz minimum pour appliquer cet exemple.) Cela donne :
  
-<file><​directories check_all="​yes"​ realtime="​yes">/​home/​marypopy/​.mozilla,/​home/​marypopy/​.filezilla</​directories></​file>+<code><​directories check_all="​yes"​ realtime="​yes">/​home/​marypopy/​.mozilla,/​home/​marypopy/​.filezilla</​directories></​code> 
 +(Remplacer "​marypopy"​ par votre identifiant)
  
 Mise à jour de la base pour la vérification d'​intégrité Mise à jour de la base pour la vérification d'​intégrité
Ligne 108: Ligne 115:
  
 ==== Configurer le <​syscheck>​ aux petits oignons. ==== ==== Configurer le <​syscheck>​ aux petits oignons. ====
-Par MaryPopy 
  
 A la place de "​check_all"​ qui active toutes les actions énumérées ci-dessous, vous pourriez préférer les activer séparément selon vos besoins. A la place de "​check_all"​ qui active toutes les actions énumérées ci-dessous, vous pourriez préférer les activer séparément selon vos besoins.
Ligne 118: Ligne 124:
  
 Toujour indiquer le yes. L'​activation se passe donc sous cette forme : Toujour indiquer le yes. L'​activation se passe donc sous cette forme :
-<​file><​directories check_sum="​yes" ​heck_size="​yes"​ check_owner="​yes"​ check_groupe="​yes"​ check_perm="​yes">/​home/​ton_user/​tes_dossiers</​directories></​file>​+<​file><​directories check_sum="​yes" ​check_size="​yes"​ check_owner="​yes"​ check_groupe="​yes"​ check_perm="​yes">/​home/​ton_user/​tes_dossiers</​directories></​file>​
 Cette forme est absolument égale à : Cette forme est absolument égale à :
 <​file><​directories check_all="​yes">/​home/​ton_user/​tes_dossiers</​directories></​file>​ <​file><​directories check_all="​yes">/​home/​ton_user/​tes_dossiers</​directories></​file>​
Ligne 125: Ligne 131:
 La balise **<​ignore>​** sert à exclure du contenu de l'​analyse. La balise **<​ignore>​** sert à exclure du contenu de l'​analyse.
  
-Vous trouverez des informations sur [[http://​forum.ubuntu-fr.org/​viewtopic.php?​id=404799|cette discussion du forum]].+Vous trouverez des informations sur [[https://​forum.ubuntu-fr.org/​viewtopic.php?​id=404799|cette discussion du forum]].
  
 ==== Visionner vos alertes en temps réel ==== ==== Visionner vos alertes en temps réel ====
-Par MaryPopy+
  
 Visionner les alertes en temps réel : Visionner les alertes en temps réel :
Ligne 137: Ligne 143:
 ==== Ajouter un agent ==== ==== Ajouter un agent ====
  
-L'​avantage d'​OSSEC est de pouvoir monitorer des serveurs distants appelés agents. Pour les ajouter voici comment faire. ​+L'​avantage d'​OSSEC est de pouvoir monitorer des serveurs distants appelés agents. Pour les ajouter voici comment faire.
  
 On lance sur le serveur maître (celui qui monitorera les agents) la commande suivante : On lance sur le serveur maître (celui qui monitorera les agents) la commande suivante :
Ligne 168: Ligne 174:
 </​code>​ </​code>​
  
-Voila l'​agent est ajouté. Seulement pour sécuriser les transferts il faut créer un clé de confiance entre les deux entités. ​+Voila l'​agent est ajouté. Seulement pour sécuriser les transferts il faut créer un clé de confiance entre les deux entités.
  
 Toujours du coté serveur on tape : Toujours du coté serveur on tape :
Ligne 196: Ligne 202:
 </​code>​ </​code>​
  
-Il faut copier cette clé et la coller dans l'​agent. ​+Il faut copier cette clé et la coller dans l'​agent.
  
 Maintenant du coté agent on fait ceci : Maintenant du coté agent on fait ceci :
Ligne 281: Ligne 287:
 sudo rm -f /​etc/​init.d/​ossec sudo rm -f /​etc/​init.d/​ossec
 sudo rm -f /​etc/​ossec-init.conf sudo rm -f /​etc/​ossec-init.conf
 +sudo deluser ossecm
 +sudo deluser ossecr
 +sudo delgroup ossec
 </​code>​ </​code>​
  
  
  
 +
 +
 +=====Installation du Rootcheck OSSEC=====
 +Le rootcheck OSSEC est un outil puissant. N'​appartenant pas à la logithèque il vous faudra le compiler.
 +Le tutorial présent sur le forum à la page :​[[http://​forum.ubuntu-fr.org/​viewtopic.php?​pid=3725713#​p3725713]] vous expliquera facilement comment installer le Rootcheck et cela même si vous êtes débutant.
  
 ===== Voir aussi ===== ===== Voir aussi =====
Ligne 291: Ligne 305:
  
   * **(en)** [[http://​www.ossec.net/​main/​manual|Manuel officiel]]   * **(en)** [[http://​www.ossec.net/​main/​manual|Manuel officiel]]
-  * **(fr)** [[http://​www.system-linux.eu/​index.php?​post/​2009/​10/​29/​Installation-et-configuration-d-Ossec|Aller plus loin]]+  * **(en)** Howto ameliore sur OSSec (PDF) [[http://​blog.savoirfairelinux.com/​tutoriels/​livre-gratuit-ossec-how-to-the-quick-and-dirty-way/​]] 
 +  * **(fr)** [[https://​www.system-linux.eu/​index.php?​post/​2009/​10/​29/​Installation-et-configuration-d-Ossec|Aller plus loin]]
  
 ---- ----
-//​Contributeurs : [[utilisateurs:​naoli|naoli]]//​+//​Contributeurs : [[utilisateurs:​naoli|naoli]], [[utilisateurs:​MaryPopy]]//.
  
-// Basé sur [[http://​ubuntuforums.org/​showthread.php?​t=919472|« Ubuntu Intrusion Detection »]] par bodhi.zazen.//​+// Basé sur [[https://​ubuntuforums.org/​showthread.php?​t=919472|« Ubuntu Intrusion Detection »]] par bodhi.zazen.//​
  • ossec.1283929942.txt.gz
  • Dernière modification: Le 08/09/2010, 09:12
  • par 213.221.130.109