Debian 9 : installer Ossec
Installation de Ossec sous Debian 9
Prérequis
Avant l’installation de Ossec il faut installer les paquets suivant : build-essential, gcc et make.
root@debian~#: apt install build-essential gcc make
Installation de ossec
Télécharger ossec.
root@debian~#: wget https://github.com/ossec/ossec-hids/archive/3.1.0.tar.gz
Décompresser l’archive.
root@debian~#: tar xf 3.1.0.tar.gz
Se placer dans le répertoire de ossec lancer l’installation.
root@debian~#: cd ossec-hids-3.1.0/
root@debian~#: bash install.sh
aperçu du contenu du fichier
** Para instalação em português, escolha [br].
** 要使用中文进行安装, 请选择 [cn].
** Fur eine deutsche Installation wohlen Sie [de].
** Για εγκατάσταση στα Ελληνικά, επιλέξτε [el].
** For installation in English, choose [en].
** Para instalar en Español , eliga [es].
** Pour une installation en français, choisissez [fr]
** A Magyar nyelvű telepítéshez válassza [hu].
** Per l'installazione in Italiano, scegli [it].
** 日本語でインストールします.選択して下さい.[jp].
** Voor installatie in het Nederlands, kies [nl].
** Aby instalować w języku Polskim, wybierz [pl].
** Для инструкций по установке на русском ,введите [ru].
** Za instalaciju na srpskom, izaberi [sr].
** Türkçe kurulum için seçin [tr].
(en/br/cn/de/el/es/fr/hu/it/jp/nl/pl/ru/sr/tr) [en]:
OSSEC HIDS v3.1.0 Installation Script - http://www.ossec.net
You are about to start the installation process of the OSSEC HIDS.
You must have a C compiler pre-installed in your system.
- System: Linux ssh.server.lan 4.9.0-7-amd64
- User: root
- Host: ssh.server.lan
-- Press ENTER to continue or Ctrl-C to abort. --
1- What kind of installation do you want (server, agent, local, hybrid or help)? server
[…]
: Pour installer le serveur (aussi appeler manager) taper server à la 2ème question du formulaire d’installation. Pour installer le daemon sur l’agent taper agent à la 2ème question du formulaire d’installation.
Ensuite à la 3 ème question entrer l’IP du serveur/manager Ossec.
aperçu du contenu du fichier
[…]
3.1- What's the IP Address or hostname of the OSSEC HIDS server?: 172.16.0.42
[…]
Le reste de l’installation est intuitif.
Ajout d’un agent au serveur
Côté serveur
Lancer l’utilitaire de gestion d’agents.
root@debian~#: /var/ossec/bin/manage_agents
Au prompt, choisir a pour ajouter un agent.
Ensuite renseigner l’IP de l’agent ainsi que sont ID et confirmer y.
sortie
**************************************** * OSSEC HIDS v3.1.0 Agent manager. * * The following options are available: * **************************************** (A)dd an agent (A). (E)xtract key for an agent (E). (L)ist already added agents (L). (R)emove an agent (R). (Q)uit. Choose your action: A,E,L,R or Q: a - Adding a new agent (use '\q' to return to the main menu). Please provide the following: * A name for the new agent: nom-agent * The IP Address of the new agent: 172.16.0.1 * An ID for the new agent[001]: 1 Agent information: ID:009 Name:ssh-server IP Address:172.16.0.1 Confirm adding it?(y/n): y Agent added.
De retour sur le menu principal, extraire la clé pour l’agent nouvellement ajouté.
Choisir e et entré l’ID de l’agent pour lequel la clé doit être extraite.
sortie
**************************************** * OSSEC HIDS v3.1.0 Agent manager. * * The following options are available: * **************************************** (A)dd an agent (A). (E)xtract key for an agent (E). (L)ist already added agents (L). (R)emove an agent (R). (Q)uit. Choose your action: A,E,L,R or Q: e Available agents: ID: 009, Name: ssh-server, IP: 172.16.0.1 Provide the ID of the agent to extract the key (or '\q' to quit): 001 Agent key information for '001' is: MDA5IHNzaC1zEPYXIgMTcyLjE2LjAuOSAxNGYwOGQ1YmJlDjk4NGI5NTU5NGU5MDlmYTgxNTE1MjRhYzA4MmU5MTMzMNmNkZTE1ZGQ2Y2E5M2JjNmNk ** Press ENTER to return to the main menu.
De nouveau sur le menu principal, quitter l’utilitaire de gestion d’agents.
sortie
****************************************
* OSSEC HIDS v3.1.0 Agent manager. *
* The following options are available: *
****************************************
(A)dd an agent (A).
(E)xtract key for an agent (E).
(L)ist already added agents (L).
(R)emove an agent (R).
(Q)uit.
Choose your action: A,E,L,R or Q: q
** You must restart OSSEC for your changes to take effect.
manage_agents: Exiting.
Côté client
Lancer l’utilitaire de gestion d’agents.
root@debian~#: /var/ossec/bin/manage_agents
Au prompt, entré i pour importer la clé générée côté serveur.
Entrer la clé.
Valider les informations y.
sortie
**************************************** * OSSEC HIDS v3.1.0 Agent manager. * * The following options are available: * **************************************** (I)mport key from the server (I). (Q)uit. Choose your action: I or Q: i * Provide the Key generated by the server. * The best approach is to cut and paste it. *** OBS: Do not include spaces or new lines. Paste it here (or '\q' to quit): MDA5IHNzaC1zEPYXIgMTcyLjE2LjAuOSAxNGYwOGQ1YmJlDjk4NGI5NTU5NGU5MDlmYTgxNTE1MjRhYzA4MmU5MTMzMNmNkZTE1ZGQ2Y2E5M2JjNmNk Agent information: ID:001 Name:nom-agent IP Address:172.16.0.1 Confirm adding it?(y/n): y Added. ** Press ENTER to return to the main menu.
Une fois les agents et le serveur configurer, redémarrer le service.
root@debian~#: systemctl restart ossec
: le port de communication entre agent et serveur est le 1514 en UDP.
Configuration l’envoie d’e-mail avec Gmail
Voir : Debian 9 : relai SMTP via Gmail pour configurer un relai SMTP via Gmail.
Configurer ossec.
root@debian~#: /var/ossec/etc/ossec.conf
aperçu du contenu du fichier
<global>
<email_notification>yes</email_notification>
<smtp_server>localhost.</smtp_server>
<email_from>utilisateur@gmail.com</email_from>
<email_to>utilisateur@gmail.com</email_to>
</global>
: noter bien le « . » après localhost.
by Nicolas SHINEY | December 29, 2018 | No Comments | Système | Tags : sécurité