Différences

Ci-dessous, les différences entre deux révisions de la page.

--- ossec [Le 26/08/2010, 18:53] – 188.62.43.21
+++ ossec [Le 11/09/2022, 11:45] (Version actuelle) – Suppression des espaces en fin de ligne (détecté et corrigé via le bot wiki-corrector (https://forum.ubuntu-fr.org/viewtopic.php?id=2067892) moths-art
@@ Ligne 1: / Ligne 1: @@
-{{tag>pare-feu surveillance réseau}}
+{{tag>pare-feu réseau}}
 ----
 ====== Détecteur d'intrusions OSSEC-HIDS ======
-{{http://www.ossec.net/img/ossec_logo.jpg  }}
+{{ http://www.ossec.net/wp-content/uploads/2012/06/ossec-hids.png}}
-Cette page traite de la procédure à suivre afin d'installer et d'utiliser OSSEC, un détecteur d'intrusion sur machine hôte : "HIDS" ([[http://fr.wikipedia.org/wiki/NIDS#HIDS_.28IDS_machine.29|Host-based Intrusion Detection System]]). Ossec est l'un des HIDS le plus utilisés. Il est très facile d'accès tant pour l'installation que pour l'utilisation.
+Cette page traite de la procédure à suivre afin d'installer et d'utiliser OSSEC, un détecteur d'intrusion sur machine hôte : "HIDS" ([[wpfr>NIDS#HIDS_.28IDS_machine.29|Host-based Intrusion Detection System]]). Ossec est l'un des HIDS le plus utilisés. Il est très facile d'accès tant pour l'installation que pour l'utilisation.
-Pouvant réagir c'est également une IPS, [[http://fr.wikipedia.org/wiki/Syst%C3%A8me_de_pr%C3%A9vention_d%27intrusion|Système de prévention d'intrusion]] machine.
+Pouvant réagir, c'est également une IPS, [[wpfr>Système_de_prévention_d'intrusion|Système de prévention d'intrusion]] machine.
-Pour en savoir plus sur ce qu'est un IDS, vous pouvez vous référer à [[http://www.commentcamarche.net/detection/ids.php3|ce lien]], ou à [[http://fr.wikipedia.org/wiki/NIDS|celui-là]].
+Pour en savoir plus sur ce qu'est un IDS, vous pouvez vous référer à [[http://www.commentcamarche.net/detection/ids.php3|ce lien]], ou à [[wpfr>NIDS|celui-là]].
 Voir en complément :
@@ Ligne 18: / Ligne 18: @@
   * Disposer des [[:sudo|droits d'administration]] ;
   * Disposer d'une connexion à Internet configurée et activée ;
-  * (Pour l'interface graphique uniquement) Disposer d'[[http://doc.ubuntu-fr.org/apache2|apache2]].
+  * (Pour l'interface graphique uniquement) Disposer d'[[:apache2]].
 ===== Installation =====
+====Installation manuelle====
-Malheureusement, OSSEC n'est pas dans les dépôts, il vous faudra donc vous rendre sur [[http://www.ossec.net/main/downloads/|le site d'OSSEC]] et télécharger la dernière version. À l'heure où ce tuto est écrit, il s'agit de la 2.2.
+Malheureusement, OSSEC n'est pas dans les dépôts, il vous faudra donc vous rendre sur [[http://www.ossec.net/?page_id=19|le site d'OSSEC]] et télécharger la dernière version. À l'heure où ce tuto est écrit, il s'agit de la 2.5.1
 Une fois le paquet téléchargé, placez-vous dans le répertoire de téléchargement et  continuez par
-<file>wget http://www.ossec.net/files/ossec-hids-2.2.tar.gz
+<code>wget http://www.ossec.net/files/ossec-hids-2.5.1.tar.gz
-tar xzvf ossec-hids-2.2.tar.gz
+tar xzvf ossec-hids-2.5.1.tar.gz
-cd ossec-hids-2.2
+cd ossec-hids-2.5.1
-sudo ./install.sh</file>
+sudo ./install.sh</code>
 Parmi la liste de questions qu'on va vous poser, vous pouvez choisir la réponse par défaut dans tous les cas. Lorsqu'on vous demande quel type d'installation préférer, optez pour **local**.
-<note tip>Quand on vous demande si vous souhaitez ajouter des IP dans la liste blanches, pensez à renseigner les IPs des ordinateurs de votre LAN, le cas échéant.</note>
+<note tip>Quand on vous demande si vous souhaitez ajouter des IP dans la liste blanche, pensez à renseigner les IPs des ordinateurs de votre LAN, le cas échéant.</note>
-Si vous souhaitez utiliser une interface graphique pour OSSEC, il vous faudra un serveur [[http://doc.ubuntu-fr.org/apache2|apache2]] en état de fonctionnement.
+Si vous souhaitez utiliser une interface graphique pour OSSEC, il vous faudra un serveur [[:apache2]] en état de fonctionnement.
-Si c'est le cas, rendez-vous à nouveau sur le site d'OSSEC et téléchargez la dernière version de la WebInterface dans** /var/www/**. Ensuite :
+Si c'est le cas, rendez-vous à nouveau sur le site d'OSSEC et téléchargez la dernière version de la [[http://www.ossec.net/wiki/index.php/OSSECWUI:Install|WebInterface]] dans** /var/www/**. Ensuite :
-<file>cd /var/www
+<code>cd /var/www
 sudo tar xzvf ~/ossec-wui-0.3.tar.gz
 sudo mv ossec-wui* ossec
@@ Ligne 50: / Ligne 50: @@
 cd /var/www
 sudo chown -R www-data.www-data ossec
-sudo usermod -G ossec -a www-data</file>
+sudo usermod -G ossec -a www-data</code>
 L'installation est terminée, vous pouvez maintenant relancer apache et lancer OSSEC :
-<file>sudo /etc/init.d/apache2 restart
+<code>sudo /etc/init.d/apache2 restart
-sudo /etc/init.d/ossec start</file>
+sudo /etc/init.d/ossec start</code>
+====Installation par dépot launchpad====
+Pour [[lucid|lucid 10.04 LTS]], [[12.04_lts|Precise 12.04 LTS]]:[[https://launchpad.net/~nicolas-zin/+archive/ossec-ubuntu|PPA]] (comment installer un [[ppa|PPA]]?), __préférer l'installation manuelle__
 ==== Erreur au lancement dans le navigateur ====
-Si au lancement de la page web vous obtenez une erreur de type opendir failed (/var/ossec) et que vous avez modifé le répertoire d'ossec a l'installation (/home/ossec par exemple, il faut éditer le fichier /var/www/ossec/ossec_conf.php et faire les changements suivants :
+Si au lancement de la page web vous obtenez une erreur de type opendir failed (/var/ossec) et que vous avez modifé le répertoire d'ossec à l'installation (/home/ossec par exemple, il faut éditer le fichier /var/www/ossec/ossec_conf.php et faire les changements suivants :
-<file>
+<code>
 /* Ossec directory */
 $ossec_dir="/home/ossec";
-</file>
+</code>
 ===== Configuration =====
-Il n'y a pas grand chose à faire pour configurer OSSEC. Vous pouvez toutefois jeter un oeil au fichier de configuration :
+Il n'y a pas grand chose à faire pour configurer OSSEC. Vous pouvez toutefois [[:tutoriel:comment_modifier_un_fichier|jeter un oeil]] au fichier de configuration **/var/ossec/etc/ossec.conf**, ainsi qu'au [[http://www.ossec.net/main/manual/#config|manuel (anglais)]] si vous souhaitez tout paramétrer.
-<file>gksudo gedit /var/ossec/etc/ossec.conf</file>
+===== Ajout de surveillance dossier en temps réel =====
-ainsi qu'au [[http://www.ossec.net/main/manual/#config|manuel]] si vous souhaitez tout paramétrer.
-===== Ajout de surveillance dossier en temps réel =====
+Pour ajouter un fichier à surveiller, [[:tutoriel:comment_modifier_un_fichier|ouvrez le fichier]] **/var/ossec/etc/ossec.conf**.
-Pour ajouter un fichier à surveiller ouvrez :
+Recherchez syscheck dans ce document xml, et ajoutez sous <directories> séparé d'une virgule les dossiers à ajouter ou rajoutez des lignes qui suivent cette forme :
-<code>sudo gedit /var/ossec/etc/ossec.conf</code>
-Recherche syscheck dans ce document xml et ajoutez sous <directories> séparé d'une virgule les dossiers à ajouter ou rajoutez des lignes qui suivent cette forme :
-<file><directories check_all="yes">/home/ton_user/tes_dossiers</directories></file>
+<code><directories check_all="yes">/home/ton_user/ton_dossier,/ton_autre_dossier</directories></code>
+Par défaut OSSEC fait une analyse d'intégrité toutes les 22h que vous remarquerez par cette valeur : **<frequency>79200</frequency>**.
+**Voici un exemple d'analyse en temps réel :**
+Ajouter **Firefox et Filezilla**... (Il est conseillé d'avoir Quad de 2.8 GHz minimum pour appliquer cet exemple.) Cela donne :
-Par **exemple** j'ai rajouté **Firefox et Filezilla** avec une surveillance **en temps réelle.**. Celà donne :
+<code><directories check_all="yes" realtime="yes">/home/marypopy/.mozilla,/home/marypopy/.filezilla</directories></code>
+(Remplacer "marypopy" par votre identifiant)
-<file><directories check_all="yes" realtime="yes">/home/marypopy/.mozilla,/home/marypopy/.filezilla</directories></file>
+Mise à jour de la base pour la vérification d'intégrité
+<code>sudo /var/ossec/bin/syscheck_update -a</code>
+Et
+<code>sudo /var/ossec/bin/syscheck_update -l</code>
 Suite à une modification, relancez OSSEC
@@ Ligne 107: / Ligne 116: @@
 ==== Configurer le <syscheck> aux petits oignons. ====
-A la place de "check_all" qui active toutes les actions que je vais énumérer, vous pourriez préférer les activer séparément celons vos intérêts.
+A la place de "check_all" qui active toutes les actions énumérées ci-dessous, vous pourriez préférer les activer séparément selon vos besoins.
   * //check_sum// vérifications selon sommes de contrôle
@@ Ligne 115: / Ligne 124: @@
 Toujour indiquer le yes. L'activation se passe donc sous cette forme :
-<file><directories check_sum="yes" heck_size="yes" check_owner="yes" check_groupe="yes" check_perm="yes">/home/ton_user/tes_dossiers</directories></file>
+<file><directories check_sum="yes" check_size="yes" check_owner="yes" check_groupe="yes" check_perm="yes">/home/ton_user/tes_dossiers</directories></file>
 Cette forme est absolument égale à :
 <file><directories check_all="yes">/home/ton_user/tes_dossiers</directories></file>
@@ Ligne 121: / Ligne 130: @@
 La balise **<ignore>** sert à exclure du contenu de l'analyse.
+Vous trouverez des informations sur [[https://forum.ubuntu-fr.org/viewtopic.php?id=404799|cette discussion du forum]].
+==== Visionner vos alertes en temps réel ====
+Visionner les alertes en temps réel :
+<code>sudo tail -f /var/ossec/logs/alerts/alerts.log</code>
+ou
+<code>sudo tail -f /var/ossec/logs/ossec.log</code>
 ==== Ajouter un agent ====
 L'avantage d'OSSEC est de pouvoir monitorer des serveurs distants appelés agents. Pour les ajouter voici comment faire.
 On lance sur le serveur maître (celui qui monitorera les agents) la commande suivante :
@@ Ligne 155: / Ligne 174: @@
 </code>
 Voila l'agent est ajouté. Seulement pour sécuriser les transferts il faut créer un clé de confiance entre les deux entités.
 Toujours du coté serveur on tape :
@@ Ligne 183: / Ligne 202: @@
 </code>
 Il faut copier cette clé et la coller dans l'agent.
 Maintenant du coté agent on fait ceci :
@@ Ligne 228: / Ligne 247: @@
 ===== Utilisation=====
-Pour vous connecter à l'interface graphique, tappez ceci dans votre navigateur :
+Pour vous connecter à l'interface graphique, tapez ceci dans votre navigateur :
-<file>http://votre_ip_locale/ossec</file>
+http://votre_ip_locale/ossec
 L'interface est très simple, aussi ne nécessite-t-elle pas plus d'explications... :-)
-Pour afficher la liste des agents actifs on tape :
+Pour afficher la liste des agents actifs on saisis dans un terminal :
 <file>/var/ossec/bin/agent_control -lc
@@ Ligne 244: / Ligne 263: @@
 ID: 174, Name: lili3win, IP: 192.168.2.0/24, Active</file>
-Pour intérroger le status d'un agent on tape :
+Pour interroger le status d'un agent on tape :
 <file>/var/ossec/bin/agent_control -i 002
@@ Ligne 262: / Ligne 281: @@
 ===== Désinstallation =====
-Pour supprimer cette application, il vous faut supprimer les fichiers liés :
+Pour supprimer cette application, il vous faut supprimer les fichiers liés, via le [[terminal]] :
-<file>
+<code>
 sudo rm -rf /var/ossec
 sudo rm -f /etc/init.d/ossec
 sudo rm -f /etc/ossec-init.conf
-</file>
+sudo deluser ossecm
+sudo deluser ossecr
+sudo delgroup ossec
+</code>
+=====Installation du Rootcheck OSSEC=====
+Le rootcheck OSSEC est un outil puissant. N'appartenant pas à la logithèque il vous faudra le compiler.
+Le tutorial présent sur le forum à la page :[[http://forum.ubuntu-fr.org/viewtopic.php?pid=3725713#p3725713]] vous expliquera facilement comment installer le Rootcheck et cela même si vous êtes débutant.
 ===== Voir aussi =====
@@ Ligne 278: / Ligne 305: @@
   * **(en)** [[http://www.ossec.net/main/manual|Manuel officiel]]
-  * **(fr)** [[http://www.system-linux.eu/index.php?post/2009/10/29/Installation-et-configuration-d-Ossec|Aller plus loin]]
+  * **(en)** Howto ameliore sur OSSec (PDF) [[http://blog.savoirfairelinux.com/tutoriels/livre-gratuit-ossec-how-to-the-quick-and-dirty-way/]]
+  * **(fr)** [[https://www.system-linux.eu/index.php?post/2009/10/29/Installation-et-configuration-d-Ossec|Aller plus loin]]
-//Contributeurs : [[utilisateurs:naoli|naoli]]//
+----
+//Contributeurs : [[utilisateurs:naoli|naoli]], [[utilisateurs:MaryPopy]]//.
-// Basé sur [[http://ubuntuforums.org/showthread.php?t=919472|« Ubuntu Intrusion Detection »]] par bodhi.zazen.//
+// Basé sur [[https://ubuntuforums.org/showthread.php?t=919472|« Ubuntu Intrusion Detection »]] par bodhi.zazen.//

Différences

Outils pour utilisateurs

Outils du site

Outils de la page

Divers