Bonjour,
J’ai un problème lorsque OSSEC ce lance il n’y a plus de connexion.
( Plus de ping, plus de ssh, plus de web. )
Merci de votre aide.
Salut,
[quote]gerard@debian:~$ aptitude search ossec
gerard@debian:~$ [/quote]
Semble ne pas être connu sous Debian 
Re,
Alors tu devrais au moins donner une démarche complète avec les liens afin de ne pas nous obliger à aller voir google.
Voici l’installation que j’ai suivi :
[code]Procédure OSSEC-HIDS + Intégration PRELUDE
Pré-requis
Avant de passer à l’installation d’Ossec, il faut au préalable installer certains paquets, à adapter selon vos besoins.
$ sudo apt-get update
$ sudo apt-get upgrade
$ sudo apt-get install wget man ssh build-essential libgnutls-dev checkinstall
Ossec-HIDS
Téléchargement
Pour installer Ossec, il faut tout d’abord télécharger la dernière version (http://www.ossec.net/main/downloads).
$ sudo wget http://www.ossec.net/files/ossec-hids-latest.tar.gz
Décompresser l’archive.
$ sudo tar –zxf ossec-hids-latest.tar.gz
Un seul paquet est nécessaire pour l’installation sur un poste Linux. En effet ce dernier sert aussi bien pour l’installation d’un serveur que d’un agent.
Serveur Ossec
Libprelude
L’installation de libprelude est à utiliser que dans le cadre d’une architecture réseau, dans laquelle Ossec génère des alertes vers un serveur Prelude
L’installation de Libprelude est obligatoire pour pouvoir enregistrer le serveur Ossec auprès du serveur Prelude. Ainsi, Ossec est considéré comme une sonde de Prelude et peut alors échanger avec ce dernier de manière sécurisé.
Pour installer la librairie de Prelude, voir cette page :
Libprelude
Installation
La procédure d’installation d’Ossec est des plus simples :
$ cd ossec-hids-2.1
Afin qu’Ossec prenne en charge Prelude (optionnel), c’est-à-dire, l’envoi des alertes au format IDMEF vers Prelude-Manager, il faut activer le service avant de lancer l’installation, sous peine, en cas d’oubli, de devoir réinstaller complétement Ossec afin de réussir à l’intégrer correctement à Prelude.
$ cd src
$ sudo make setprelude
$ cd …
Puis lancement de l’installation.
$ sudo ./install.sh
Ensuite, il ne reste plus qu’à suivre les instructions comme le choix de langue, le type d’installation (serveur/agent…), le répertoire d’installation, …etc.
Ici, ces paramètres d’installation sont :
Répertoire : /etc/ossec
Fichier de configuration : /etc/ossec/etc/ossec.conf
L’installation du serveur est terminée.
Configuration
Pour configurer Ossec, il faut éditer le fichier ossec.conf.
$ sudo vim /etc/ossec/etc/ossec.conf
Configuration de base
Dans ossec.conf, il faut ajouter les adresses ip autorisées à interagir avec Ossec, c’est-à-dire les postes informatiques ne pouvant être bloqués par le système de réponses-actives d’Ossec-HIDS, ces derniers étant considérés comme sûrs. Pour cela, ces adresses ip doivent être entrées dans la liste blanche.
<ossec_config>
…
<white_list>127.0.0.1</white_list>
<white_list>^localhost.localdomain$</white_list>
<white_list>192.168.1.100</white_list>
<white_list>192.168.1.200</white_list>
…
Libprelude
A faire que dans le cadre d’une intégration d’Ossec à Prelude-IDS.
Afin qu’un serveur Ossec et Prelude communiquent correctement entre eux, il faut préciser l’adresse du serveur Prelude dans le fichier client.conf dans le repertoire /usr/local/etc/prelude/default.
$ sudo vim /usr/local/etc/prelude/default/client.conf
server-addr = 192.168.1.200
Ensuite dans le fichier de configuration ossec.conf, il faut ajouter des paramètres Prelude.
<ossec_config>
…
<prelude_output>yes</prelude_output>
<prelude_profile>ossec</prelude_profile>
<prelude_log_level>6</prelude_log_level>
…
Le paramètre prelude_output permet d’activer l’envoi d’alerte vers Prelude, quant au paramètre prelude_profile, il sert à indiquer le profile (certificat d’inscription utilisé pour Prelude) à utiliser au démarrage d’Ossec-HIDS. Pour prelude_log_level, c’est en quelque sorte un filtre des alertes à envoyer à Prelude avec un niveau de log minimum.
Optimisation
Notification par e-mail
Afin d’activer la notification par e-mail, il faut éditer le fichier ossec.conf :
<ossec_config>
<email_notification>yes</email_notification>
<email_to>admin@monitoring-fr.org</email_to>
<email_to>manager@monitoring-fr.org</email_to>
<smtp_server>mail.monitoring-fr.org</smtp_server>
<email_from>ossec@monitoring-fr.org</email_from>
…
Bien sûr, ne pas oublier de déclarer si besoin est (serveur distant, donc différent de 127.0.0.1), le serveur de mail dans la liste blanche :
<ossec_config>
<white_list>127.0.0.1</white_list>
<white_list>mail.monitoring-fr.org</white_list>
…
Et enfin, de manière à éviter d’être véritablement spammé par notre serveur Ossec, il est possible de changer le niveau à partir duquel les alertes par e-mail sont envoyés :
<ossec_config>
<email_alert_level>10</email_alert_level>
…
…
Les différents niveaux d’alertes vont d’une échelle de 1 (pas de menace …) à 16 (critique …), par défaut la valeur d’alerte par mail est de 7.
Règles
Il est également possible d’activer ou de désactiver les règles d’Ossec présentes dans le répertoire /etc/ossec/rules. Toujours dans ossec.conf.
…
zeus_rules.xml
…
Pour désactiver une règle, il suffit d’utiliser la syntaxe de commentaire xml, à savoir <!– et –>.
Ensuite pour accoupler la bestiole avec prelude :
screen -R manager
prelude-adduser registration-server prelude-manager
CTRL+A puis D
screen -R register
prelude-adduser register OSSEC "idmef:w" localhost --uid ossec --gid ossec
CTRL+A puis D
screen -r manager
Attendre la fin de la création de la clé et suivre la manipulation pour le one-time-password généré (voir mon premier tuto pour prelude), puis modifier la configuration de ossec pour sortir les logs dans prelude.
Ajouter :
<prelude_output>yes</prelude_output>
<prelude_profile>OSSEC</prelude_profile>
<prelude_log_level>6</prelude_log_level>
Dans le fichier /var/ossec/etc/ossec.conf, entre les balises global.
Puis démarrer par un sympatique /var/ossec/bin/ossec-control start (ou suivant l’install /etc/init.d/ossec start) qui doit renvoyer ceci :
Starting OSSEC HIDS v2.2 (by Trend Micro Inc.)...
21 Sep 15:33:36 (process:25711) INFO: Connecting to 127.0.0.1:4690 prelude Manager server.
21 Sep 15:33:36 (process:25711) INFO: TLS authentication succeed with Prelude Manager.
Started ossec-maild...
Started ossec-execd...
Started ossec-analysisd...
Started ossec-logcollector...
Started ossec-syscheckd...
Started ossec-monitord...[/code]Petit up
Personne ne sais ?
Merci
Il s’agit d’un vieux poste mais sait-on jamais ça peut aider.
Ossec dispose d’un mode “active response” qui crée des règles iptables pour supprimer le trafic malicieux. Peut être que c’est la source de ton problème.
Il faudrait sur la machine couper ossec et regarder les logs pour voir ce qu’il se passe.
Autre test à réaliser, c’est de désactiver l’“active response” dans ossec et le redemarrer pour voir si tu as toujours le même problème.
moi j’ai de problème au niveau de la fin de l’installation de ossec. voyez une image
