E ai pessoal, nesse post iremos abordar a instalação passo-a-passo do HIDS Ossec, ele é umas das melhores soluções para HIDS atualmente, capaz de atuar como active-response (resposta ativa), verificação de integridade, detecção de rootkits, analise de logs e real-time alert. É uma ferramenta de suma importância para a segurança de seu servidor, funciona em sistemas LinuxMacOS, Solaris, HP-UX, AIX e Windows. Para quem não está muito ambientado com o Ossec, segue uma breve explicação abaixo.

ossec-hids

O Que é o OSSEC?

O OSSEC é uma plataforma completa para monitorar e controlar seu sistema. Ele junta todos os aspectos de HIDS (detecção de intrusão baseado em host), log de ​​monitoramento e SIM/SIEM juntos em uma solução de código simples, poderoso e aberto. O OOSEC também é apoiado e totalmente suportado pela Trend Micro.

Descrição do Laboratório

Para essa instalação estamos utilizando uma VM (máquina virtual) no VirtualBox com 512 Mb de memória Ram, 1 core do Processador Core I3 e a distribuição Ubuntu versão 14.04 Server. Caso esteja utilizando alguma outra distribuição não há problema algum, fique a vontade para usar o SO de sua preferência. Para verificar como criar uma VM no VirtualBox acesse: Criar Máquina Virtual no VirtualBox.

Download do OSSEC

Para fazer o download dessa maravilhosa ferramenta desenvolvida pelo Daniel Cid, execute.

# cd /opt
# wget http://www.ossec.net/files/ossec-hids-2.8.tar.gz

Instalação Passo-a-Passo

Depois de baixar o OSSEC, vamos descompactar e instalar o compilador necessário.

# tar -xvzf ossec-hids-2.8.tar.gz && cd ossec-hids-2.8/
# aptitude install build-essential

Agora é hoje de executar o instalador, para isso execute.

# ./install.sh

No primeiro passo da instalação escolha o idioma a ser instalado. Para instalação em português, escolha [br].

Agora escolha o modo como ele vai trabalhar, que pode ser local, cliente e servidor. O nosso caso é local:

– Que tipo de instalação você deseja (servidor, cliente, local ou ajuda)? local

Próximo passo é escolher onde o OSSEC será instalado. Aceite o diretório proposto:

– Escolha onde instalar o OSSEC HIDS [/var/ossec]:

Depois, aceitar para receber notificações por e-mail:

– Deseja receber notificações por e-mail? (s/n) [s]:
– Qual é o seu endereço de e-mail? ric.galossi@gmail.com
– Seu servidor SMTP foi encontrado como: gmail-smtp-in.l.google.com.
– Deseja usá-lo? (s/n) [s]:

Em seguida, habilite alguns tipos de checagens:

– Deja habilitar o sistema de verificação de integridade? (s/n) [s]: s
– Deseja habilitar o sistema de detecção de rootkis? (s/n) [s]: s
– Deseja habilitar o sistema de respostas automáticas? (s/n) [s]: s
– Deseja habilitar o firewall-drop? (s/n) [s]: s
– Deseja adicionar mais algum endereço a essa lista? (s/n)? [n]: n

Após isso pressione Enter e o OSSEC será compilado e instalado.

Pronto Seu OSSEC já esta instalado e pronto para ser usado. Para iniciar e/ou parar o OSSEC execute.

# /etc/init.d/ossec start
# /etc/init.d/ossec stop

Para acessar o arquivo principal do OSSEC, acesse.

# /var/ossec/etc/ossec.conf

OBS: Caso seu provedor de internet bloqueie o tráfego na porta 25 o alerta por email não irá funcionar.

Conclusão

Bem pessoal é isso ai, espero que tenham curtido mais essa dica e que implantem essa ferramenta em seus servidores, nos próximos posts irei abordar a instalação baseado em cliente/servidor e instalações em Windows. Não deixem de compartilhar esse post e curtir nossas páginas nas redes sociais.

Oliveira Lima

Oliveira Lima

Oliveira Lima atua na área de segurança da informação há 10 anos, especialista em Pentest, Analise de vulnerabilidades e Hardering. Dedica-se também a pesquisas e analise de malware. Criou o Blog roothc.com.br, com intuito de manter o publico atualizado sobre noticias do mundo Linux e hacking, alem de dividir conhecimentos e propor debates.
Oliveira Lima