Instalando o Ossec-HIDS agent

Para finalizar nossa trilogia, iremos instalar o Ossec HIDS em outro host mas dessa vez como agente. Após a instalação veremos como ele será apresentado no Ossec-WUI.

Em outro host faremos o download do Ossec HIDS e iniciaremos a instalação seguindo os mesmos passos realizados no servidor

Instale as dependências necessárias

aptitude -y build-essential

Baixe o Ossec HIDS

wget -c http://www.ossec.net/files/ossec-hids-2.2.tar.gz

Descompacte o arquivo e inicie a instalação

tar -xvf  ossec-hids-2.2.tar.gz

cd ossec-hids-2.2

./install

OSSEC HIDS v2.2 Script de instalação – http://www.ossec.net

Você está iniciando o processo de instalação do OSSEC HIDS.
Você precisará de um compilador C pré-instalado em seu sistema.
Qualquer dúvida, sugestões ou comentários, por favor, mande um e-mail para
dcid@ossec.net (ou daniel.cid@gmail.com).

- Sistema: Linux debian 2.6.26-2-686
- Usuário: root
- Host: debian

– Aperte ENTER para continuar ou Ctrl+C para abortar. –

1- Que tipo de instalação você deseja (servidor, cliente, local ou ajuda)? cliente [ Digite 'cliente' ]

- Escolhida instalação cliente.

2- Configurando o ambiente de instalação.

- Escolha onde instalar o OSSEC HIDS [/var/ossec]: [Pressione ENTER]

- A instalação será feita no diretório /var/ossec .

3- Configurando o OSSEC HIDS.

3.1- Qual é o endereço de IP do servidor OSSEC HIDS?: [ Informe o IP do servidor instalado anteriormente ]

xxx.xx.xxx.xxx

- Adicionando IP do servidor xxx.xx.xxx.xxx

3.2- Deseja habilitar o sistema de verificação de integridade? (s/n) [s]: [Pressione ENTER]

- Syscheck (Sistema de verificação de integridade) habilitado.

3.3- Deseja habilitar o sistema de detecção de rootkis? (s/n) [s]: [Pressione ENTER]

- Rootcheck (Sistema de detecção de rootkits) habilitado.

3.4 – Deseja habilitar o sistema de respostas automáticas? (s/n) [s]: n [ Digite 'n' ]

- Sistema de respostas automáticas desabilitado.

3.5- Ajustando a configuração para analisar os seguintes logs:
– /var/log/messages
– /var/log/auth.log
– /var/log/syslog
– /var/log/mail.info
– /var/log/dpkg.log

- Se quiser monitorar qualquer outro arquivo, modifique
o ossec.conf e adicione uma nova entrada para o arquivo.
Qualquer dúvida sobre a configuração, visite http://www.ossec.net/hids/ .

— Pressione ENTER para continuar —

Após as mensagens do processo de instalação aparecerão as linhas abaixo:

- O Sistema é Debian (Ubuntu or derivative).
- O script de inicialização foi modificado para executar o OSSEC HIDS durante o boot.

- Configuração finalizada corretamente.

- Para iniciar o OSSEC HIDS:
/var/ossec/bin/ossec-control start

- Para parar o OSSEC HIDS:
/var/ossec/bin/ossec-control stop

- A configuração pode ser vista ou modificada em /var/ossec/etc/ossec.conf

Obrigado por usar o OSSEC HIDS.
Se você tiver alguma pergunta, sugestão ou encontrar algum
“bug”, nos contate através do e-mail contact@ossec.net ou
utilize nossa lista de e-mail:
( http://www.ossec.net/main/support/ ).

Maiores informações podem ser encontradas em http://www.ossec.net

—  Pressione ENTER para continuar  —

- Para se comunicar com o servidor, você primeiro precisa
adicionar este cliente a ele. Quando você tiver terminado,
use a ferramenta ‘manage_agents’ para importar a chave de
autenticação do servidor.

/var/ossec/bin/manage_agents

Maiores informações em:
http://www.ossec.net/en/manual.html#ma

Agora iremos adicionar este agente no servidor instalado anteriormente

No servidor execute os seguintes passos

Execute o manage_agents

/var/ossec/bin/manage_agents

****************************************
* OSSEC HIDS v2.2 Agent manager.     *
* The following options are available: *
****************************************
(A)dd an agent (A).
(E)xtract key for an agent (E).
(L)ist already added agents (L).
(R)emove an agent (R).
(Q)uit.
Choose your action: A,E,L,R or Q: [ Digite A para adicionar um agente ]

- Adding a new agent (use ‘\q’ to return to the main menu).
Please provide the following:
* A name for the new agent: teste [ Digite o nome do agente ]
* The IP Address of the new agent: xxx.xxx.xxx.xxx [ Digite o IP do agente ]
* An ID for the new agent[001]: [ Pressione ENTER ou informe um ID ]
Agent information:
ID:001
Name:teste
IP Address:xxx.xxx.xxx.xxx

Confirm adding it?(y/n): y [ Digite 'y' ]

Agent added.

****************************************
* OSSEC HIDS v2.2 Agent manager.     *
* The following options are available: *
****************************************
(A)dd an agent (A).
(E)xtract key for an agent (E).
(L)ist already added agents (L).
(R)emove an agent (R).
(Q)uit.
Choose your action: A,E,L,R or Q:  E [ Digite 'E' para obter a chave do agente ]

Available agents:
ID: 001, Name: teste, IP: xxx.xxx.xxx.xxx
Provide the ID of the agent to extract the key (or ‘\q’ to quit): 001 [ Informe o ID do agente ]

Agent key information for ‘001′ is:  [ Guarde esta chave para adicionar na configuração do agente ]
MDAxIHRlc3RlIDE3Mi4xNi4wLjYgZmRkMDRiM2EyNThlYWM0ZWQ5ODU1NWZmNGY0NjM3YTVjMDI2MzA5NTg1Y2M5NjgyODczNjIxMTdiMzhlZWFlYw==

** Press ENTER to return to the main menu.

****************************************
* OSSEC HIDS v2.2 Agent manager.     *
* The following options are available: *
****************************************
(A)dd an agent (A).
(E)xtract key for an agent (E).
(L)ist already added agents (L).
(R)emove an agent (R).
(Q)uit.
Choose your action: A,E,L,R or Q:  Q [ Digite 'Q'para sair ]

Reinicie o Ossec Server

/var/ossec/bin/ossec-control restart

Agora iremos configurar o agente Ossec

Execute o manage_agents

/var/ossec/bin/manage_agents

****************************************
* OSSEC HIDS v2.2 Agent manager.     *
* The following options are available: *
****************************************
(I)mport key from the server (I).
(Q)uit.
Choose your action: I or Q: I [ Digite 'I' ]

* Provide the Key generated by the server.
* The best approach is to cut and paste it.
*** OBS: Do not include spaces or new lines.

Paste it here (or ‘\q’ to quit): [ Informe aqui a chave gerada pelo Ossec server ] MDAxIHRlc3RlIDE3Mi4xNi4wLjYgZmRkMDRiM2EyNThlYWM0ZWQ5ODU1NWZmNGY0NjM3YTVjMDI2MzA5NTg1Y2M5NjgyODczNjIxMTdiMzhlZWFlYw==

Agent information:
ID:001
Name:teste
IP Address:xxx.xxx.xxx.xxx

Confirm adding it?(y/n): y [ Digite 'y' ]

Added.
** Press ENTER to return to the main menu.

****************************************
* OSSEC HIDS v2.2 Agent manager.     *
* The following options are available: *
****************************************
(I)mport key from the server (I).
(Q)uit.
Choose your action: I or Q: Q [ Digite 'Q' para sair ]

** You must restart the server for your changes to have effect.

manage_agents: Exiting ..

Reinicie o Ossec agent

/var/ossec/bin/ossec-control restart

Acesse o Ossec-WUI e confirme se o agente está sendo monitorado como nos screens abaixo:

Tweet This Post

Instalando o Open-Audit no Debian 5.0

O Open-Audit é uma aplicação que informa exatamente o que existe em sua rede, como está configurado e suas mudanças. Ele permite a auditoria de hardware e software em hosts Windows e Linux.

Segue um tutorial de instalação do Open-Audit server no Debian e como auditar máquinas Windows e Linux.

Instale as dependências necessárias

aptitude -y install apache2 python openssl php5 php-pear php5-xsl curl libcurl3 libcurl3-dev php5-curl build-essential libmysqlclient-dev libssl-dev libsnmp-dev libapache2-mod-php5 php5-gd php5-mysql mysql-server unzip

Faça o download do Open-Audit

wget -c http://downloads.sourceforge.net/project/open-audit/open-audit/20081013/20081013.zip?use_mirror=ufpr

Descompacte o arquivo

unzip 20081013.zip -d /var/www/openaudit

Finalize a instalação digitando no navegado http://IP_SERVIDOR/openaudit

Informe a lingua

Checando as dependências

Informe que você têm total acesso ao banco. Escolha a opção 1

Informe os dados de acesso ao banco

Após essa tela, se tudo estiver correto o Open-Audit estará funcionando.

Edite as seguinte linha no script de configuração do Open-Audit

vim /var/www/openaudit/scripts/audit.config

audit_host=”http://IP_SERVIDOR” #Informe o ip do servidor

Para auditar máquinas Windows execute os seguintes passos

* Na máquina a ser auditada abra o navegador e acesse o Open-audit ( http://IP_SERVIDOR/openaudit )

* Acesse o menu ADMINISTRAÇÃO -> AUDITE ESTA MÁQUINA

* Faça o download do arquivo .vbs

* Execute o arquivo .vbs baixado e após alguns minutos a máquina aparecerá na lista de máquinas auditadas.

Para auditar máquinas Linux execute os seguintes passos

* Edite a seguinte linha no arquivo audit_linux.sh localizado em /var/www/openaudit/scripts

OA_SUBMIT_URL=http://IP_SERVIDOR/openaudit/admin_pc_add_2.php #Informe o ip do servidor

* Execute o script e aguarde

Tagged: debian, open-audit, psl-ba, ubuntu-br