Installazione di tipo local con OSSEC

Posted on by

ossec logo Installazione di tipo local con OSSEC

OSSEC è un sistema di tipo HIDS (Host-based intrusion detection system) basato su un’architettura server-agent che permette di effettuare controlli periodici dei log di sistema, controlli di integrità dei file e rilevazione di rootkit. Una delle caratteristiche più interessanti di OSSEC è la possibilità di impostare una risposta attiva che consente di reagire in tempo reale ad eventuali minacce, e la possibilità di avere allerte circa lo stato di sicurezza di un server.

La modalità di deploying di OSSEC consente di effettuare oltre a quelle di tipo agent anche installazioni di tipo local. Un’installazione local non è legata in alcun modo ad eventuali server master di monitoraggio ed è una scelta comoda per quelle infrastrutture composte da un numero esiguo di server. Nell’esempio che segue utilizzeremo CentOS per l’installazione di OSSEC in modalità local.

L’installazione di OSSEC richiede la presenza di un compilatore e del tool make :

# yum install -y make gcc

Preleviamo l’ultima versione di OSSEC, la 2.5.1

# cd /usr/src
# wget http://www.ossec.net/files/ossec-hids-2.5.1.tar.gz
# tar zxf ossec-hids-2.5.1.tar.gz
# cd ossec-hids-2.5.1

Avviamo l’installazione :

# sh install.sh

La prima opzione di scelta ci chiederà di decidere quale lingua utilizzare per l’installazione. Scegliamo it e premiamo Enter:

(en/br/cn/de/el/es/fr/it/jp/nl/pl/ru/sr/tr) [en]: it

OSSEC HIDS v2.5.1 Script di installazione – http://www.ossec.net

Stai per iniziare il processo di installazione di OSSEC HIDS.
Devi avere un compilatore C pre-installato sul tuo sistema.
Per qualsiasi domanda o commento, per favore invia una e-mail
a dcid@ossec.net (or daniel.cid@gmail.com).

- Sistema: Linux server.data.example
- User: root
- Host: server.data.example

– Premi ENTER per continuare o Ctrl-C per abbandonare. –

La seconda opzione ci chiederà quale tipo di installazione vogliamo configurare. Scegliamo local e continuiamo con Enter

1- Che tipo di installazione vuoi fare (server, agent, local o help)? local

Scegli dove installare OSSEC HIDS [/var/ossec]:

Continuiamo ancora con Enter

Vuoi attivare l’e-mail di notifica? (s/n) [s]: s

- Qual’è il tuo indirizzo e-mail? amministratore@example.com

Dopo aver inserito l’indirizzo email a cui verranno inoltrate le notifiche ci verrà proposto di utilizzare come relay il server corrispondente all’indirizzo inserito. Scegliamo n ed inseriamo invece l’indirizzo ip di localhost dove il nostro demone di posta è attivo come relay locale :

- Il tuo server SMTP è: mail.server.example.com
- Vuoi utilizzarlo? (s/n) [s]: n

- Qual’è l’ip/host del tuo server SMTP? 127.0.0.1

Vuoi attivare il demone di controllo dell’integrità? (s/n) [s]: s

Vuoi attivare il sistema di rilevamento dei rootkit? (s/n) [s]: s

Vuoi abilitare la risposta attiva? (s/n) [s]: n

Se desideri monitorare qualsiasi altro file, modifica ossec.conf
e aggiungi una nuova, specifica, sezione.
Per qualsiasi dubbio sulla configurazione visita il sito del progetto
all’indirizzo http://www.ossec.net .

— Premi ENTER per continuare —

Dopo la configurazione di base l’installazione si preoccuperà di compilare ed installare l’occorrente per il funzionamento di OSSEC. Al termine avviamo il demone con il comando che segue :

# /var/ossec/bin/ossec-control start
Condividi questo post!

Post simili:

One thought on “Installazione di tipo local con OSSEC

  1. Pingback: Risposta attiva con OSSEC « Servizi managed e gestione server – servermanaged.it blog

Leave a Reply

Your email address will not be published. Required fields are marked *

*

You may use these HTML tags and attributes: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <strike> <strong>