OSSEC: HIDS para control de accesos e integridad de archivos

OSSEC es una herramienta HIDS muy util con la que se puede monitorizar los accesos al host, si se cambia algún archivo de configuración, realizar acciones determinadas para situaciones concretas (bloquear un usuario al de X intentos de conectarse por SSH). También cuenta con un modelos servidor-cliente para poder centralizar todo y visualizarlo mediante un panel web. Además de esto, también se puede configurar notificaciones por email para que mande correos cuando surjan alertas.

Server

Instalar todas las dependencias necesarias

[/crayon]
Descargar OSSEC

Desempaquetarlo

Borrar el archivo empaquetado

Acceder al directorio src para habilitar la base de datos antes de instalar

Habilitar la base de datos

make setdb

Ir a la carpeta raiz de ossec

Ejecutar el instalador, hará unas preguntas para configurar la herramienta.

Base de datos

Crear la base de datos

Volcar la configuración de ossec a la base de datos creada.

Editar el archivo de configuración de ossec

Habilitar la base de datos

Reiniciar ossec

[/crayon]

Frontend

En este caso como fronted web, se va a usar analogi. No hay muchos frontends para esta herramienta y la verdad que todos son bastante pobres. Pero de todos los que hay el mas completo puede que sea este.

Ir al directorio de apache

Clonar el repositorio de analogi

Crear el archivo de configuración

Editar el archivo de configuración añadiendo los parametros de la base de datos

Editar el site de apache para poner una contraseña

Crear el archivo de contraseñas

Cambiar el usuario del directorio

Reiniciar apache

Cliente

Instalar las dependencias necesarias

Descargar ossec

Descomprimir ossec

Borrar el tar

Ir a la carpeta de ossec

Instalar Ossec y responder a las preguntas

Ahora ir al ossec-server y ejecutar lo siguiente para crear el agente

Ahora extraer la key del agente en el servidor

[/crayon]

Y en el agente importar la clave

Y por último reiniciar tanto el agente como el servidor

Desinstalar

En el caso de que se quiera desinstalar lanzar este comando

Fuente:

https://raymii.org/s/tutorials/OSSEC_2.8.0_Server_Client_and_Analogi_Dashboard_on_Ubuntu.html

http://www.ossec.net/ossec-docs/OSSEC-book-ch3.pdf

 

One comment

Leave a Reply

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *