Resultados 1 a 8 de 8
  1. #1
    Aspirante a Evangelist
    Data de Ingresso
    Nov 2010
    Localização
    São Paulo
    Posts
    386

    Como instalar o ossec

    Pessoal bom dia,

    segue os passos para se instalar o OSSEC poderoso detector de intrusão e reports para administradores de servidores.

    1- cd /usr/local/src
    efetue o download dos scripts. (ossec.net)
    tar -zxf ossec-hids-2.4.1.tar.gz
    cd ossec-hids-2.4.1
    ./install.sh

    2-
    (en/br/cn/de/el/es/fr/it/jp/pl/ru/sr/tr) [en]: <-- Enter

    1- What kind of installation do you want (server, agent, local or help)? <-- Local

    - Choose where to install the OSSEC HIDS [/var/ossec]: <-- Enter

    3.1- Do you want e-mail notification? (y/n) [y]: <-- Enter

    - What’s your e-mail address? <-- Fill in the email you want the alerts to
    Choice 4.2: Installer will try to find you smtp server that belongs to your email. Choose NO and use localhost if you have sendmail running on your server.
    - Do you want to use it? (y/n) [n]: <-- Press Y

    - What’s your SMTP server ip/host? <-- Choose whats recommended, if it doesnt work, you need to change config later on.

    3.2- Do you want to run the integrity check daemon? (y/n) [y]: <-- Enter
    Choice 6:
    3.3- Do you want to run the rootkit detection engine? (y/n) [y]: <-- Enter

    - Do you want to enable active response? (y/n) [y]: <-- Press Enter

    - Do you want to enable the firewall-drop response? (y/n) [y]: <-- Press Enter
    Choose Yes if you want to add more IPs to the whitelist. Else NO to continue
    - Do you want to add more IPs to the white list? (y/n)? [y]: <-- Press Y, adicione outro ip ou um ip cliente seu.

    3- Reinicie o ossec
    /var/ossec/bin/ossec-control start
    4 - Se você usa o firewall CSF edite o seguinte arquivo e adicione as seguintes linhas:
    nano -w /var/ossec/etc/ossec.conf localize --->>Files/directories to ignore
    adicione - <ignore>/etc/prelink.cache</ignore>
    <ignore>/etc/csf/csf.temppids</ignore>
    <ignore>/etc/csf/csf.tempban</ignore>
    <ignore>/etc/csf/csf.tempint</ignore>
    <ignore>/etc/csf/stats/iptables_log</ignore>
    <ignore>/etc/csf/csf.dshield</ignore>
    <ignore>/etc/csf/csf.tempip</ignore>
    <ignore>/etc/csf/csf.deny</ignore>
    <ignore>/etc/csf/csf.tempfiles</ignore>
    <ignore>/etc/csf/csf.spamhaus</ignore>
    5- reinicie o ossec
    /var/ossec/bin/ossec-control restart

    Para quem usa o APF
    nano -w /var/ossec/etc/ossec.conf - localize -->>Files/directories to ignore
    ADICIONE - <ignore>/etc/prelink.cache</ignore>
    <ignore>/etc/apf/internals/.last.full</ignore>
    <ignore>/etc/apf/internals/.apf.restore</ignore>
    Reinicie o ossec - /var/ossec/bin/ossec-control restart


    Abraços a todos.
    Última edição por carlosnunes; 18-11-2010 às 19:33.

  2. #2
    Membro
    Data de Ingresso
    Nov 2010
    Posts
    11
    eu não conheci este, voce usa ele a muito tempo? funciona bem?

    Obrigado pela dica!

  3. #3
    WHT-BR Top Member
    Data de Ingresso
    Nov 2010
    Posts
    1,611
    Poderia informar qual o proposito deste script?

  4. #4
    Aspirante a Evangelist
    Data de Ingresso
    Nov 2010
    Localização
    São Paulo
    Posts
    386
    Bom dia pessoal.

    O Script acima "OSSEC" foi criado e desenvolvido por um Brasileiro que hoje se encontra trabalhando no exterior.
    Tem como objetivo, informar toda e qualquer anomalia de intrusão ou invasão no servidor dedicado, seja ele cloud, vps.
    Trata-se de uma ferramenta a mais muito util para auxiliar o administrador a detctar posiveis tentativas de força bruta, rootkits, sploits e muitas outras funções ao servidor.
    Ele tem um comportamente semelhante e aqui resumindo de um firewall com um anti rootkit e antivirus.
    Se bem configurado e combinando-se os seguintes:
    APF+BFD+DDOS DEFLATE+OSSEC E RKHUNTER, tem-se uma exelente solução contra problemas de segurança no servidor.
    Obs, podemos configurar com o CSF também sem problemas.
    Esta ferramenta ou script, é muito usada na Europa, pois o nível de reports de incidentes é muito grande, bem como bloqueios de endereços de IPs, virus, se bem configurado repito, ele nos avisa por email toda e qualquer anomalia no servidor.
    Como sugestão, configure um email de reports de incidentes fora do seu programa de correio pois o numero de mensagens enviadas por ele é grande e divide-se por grau de incidencia.

  5. #5
    Quero ser Guru
    Data de Ingresso
    Oct 2010
    Posts
    50
    eu não conheci este script não, mas alguém usa ele e poderia nos dar um outro feedback?

  6. #6
    WHT-BR Top Member
    Data de Ingresso
    Nov 2010
    Localização
    Rio de Janeiro - RJ
    Posts
    2,291
    Alguém daqui está usando esse script e teve resultados (positivos ou negativos)?

  7. #7
    Quero ser Guru
    Data de Ingresso
    Apr 2011
    Localização
    Portugal
    Posts
    49
    numca ouvi falar mas gostaria de saber feedbacks do mesmo para saber até que ponto é fiavel
    Freelancer, Beta Tester and Systems Administrator at carlos-faustino.com
    Portugal Web Solutions at web4studio.eu
    Cheap webhosting software licensing in licensefly.in
    Managed and Full of Addons Web Services
    Cheap XEN Managed Solutions

  8. #8
    Aspirante a Evangelist
    Data de Ingresso
    Nov 2010
    Localização
    São Paulo
    Posts
    386
    Pessoal bom dia.

    O script acima tem em comparação igualdade ao CSF (config server firewall).
    Ele reporta desde incidentes de segurança no servidor até logs de erros com serviços como php e mysql.
    Sua instalação requer muita atenção principalmente para aqueles que detem ip fixo em suas conexões de internet, pois pode-se limitar o acesso a suas configurações apenas por determinado ip ou varios endereços.
    Recomendo e muito a sua utilização com um bom firewall, principalmente no auxilio a combate de ddos.
    Experimentem, e vejam a quantidade de informações que podemos receber para administrar melhor nosso servidor.
    Sugiro, uma conta externa como gmail para receber os logs, pois dependendo dos resultados ele pode mandar mais de 50 emails por hora com notificações de segurança, logs de acesso e etc..

Permissões de Postagem

  • Você não pode iniciar novos tópicos
  • Você não pode enviar respostas
  • Você não pode enviar anexos
  • Você não pode editar suas mensagens
  •