Différences
Ci-dessous, les différences entre deux révisions de la page.
Les deux révisions précédentes Révision précédente Prochaine révision | Révision précédente | ||
ossec [Le 30/05/2015, 13:07] 90.61.227.159 [Erreur au lancement dans le navigateur] typo |
ossec [Le 11/09/2022, 11:45] (Version actuelle) moths-art Suppression des espaces en fin de ligne (détecté et corrigé via le bot wiki-corrector (https://forum.ubuntu-fr.org/viewtopic.php?id=2067892) |
||
---|---|---|---|
Ligne 1: | Ligne 1: | ||
- | {{tag>pare-feu surveillance réseau}} | + | {{tag>pare-feu réseau}} |
---- | ---- | ||
====== Détecteur d'intrusions OSSEC-HIDS ====== | ====== Détecteur d'intrusions OSSEC-HIDS ====== | ||
{{ http://www.ossec.net/wp-content/uploads/2012/06/ossec-hids.png}} | {{ http://www.ossec.net/wp-content/uploads/2012/06/ossec-hids.png}} | ||
- | Cette page traite de la procédure à suivre afin d'installer et d'utiliser OSSEC, un détecteur d'intrusion sur machine hôte : "HIDS" ([[http://fr.wikipedia.org/wiki/NIDS#HIDS_.28IDS_machine.29|Host-based Intrusion Detection System]]). Ossec est l'un des HIDS le plus utilisés. Il est très facile d'accès tant pour l'installation que pour l'utilisation. | + | Cette page traite de la procédure à suivre afin d'installer et d'utiliser OSSEC, un détecteur d'intrusion sur machine hôte : "HIDS" ([[wpfr>NIDS#HIDS_.28IDS_machine.29|Host-based Intrusion Detection System]]). Ossec est l'un des HIDS le plus utilisés. Il est très facile d'accès tant pour l'installation que pour l'utilisation. |
- | Pouvant réagir c'est également une IPS, [[http://fr.wikipedia.org/wiki/Syst%C3%A8me_de_pr%C3%A9vention_d%27intrusion|Système de prévention d'intrusion]] machine. | + | Pouvant réagir, c'est également une IPS, [[wpfr>Système_de_prévention_d'intrusion|Système de prévention d'intrusion]] machine. |
Pour en savoir plus sur ce qu'est un IDS, vous pouvez vous référer à [[http://www.commentcamarche.net/detection/ids.php3|ce lien]], ou à [[wpfr>NIDS|celui-là]]. | Pour en savoir plus sur ce qu'est un IDS, vous pouvez vous référer à [[http://www.commentcamarche.net/detection/ids.php3|ce lien]], ou à [[wpfr>NIDS|celui-là]]. | ||
Ligne 76: | Ligne 76: | ||
Pour ajouter un fichier à surveiller, [[:tutoriel:comment_modifier_un_fichier|ouvrez le fichier]] **/var/ossec/etc/ossec.conf**. | Pour ajouter un fichier à surveiller, [[:tutoriel:comment_modifier_un_fichier|ouvrez le fichier]] **/var/ossec/etc/ossec.conf**. | ||
- | Recherchez syscheck dans ce document xml, et ajoutez sous <directories> séparé d'une virgule les dossiers à ajouter ou rajoutez des lignes qui suivent cette forme : | + | Recherchez syscheck dans ce document xml, et ajoutez sous <directories> séparé d'une virgule les dossiers à ajouter ou rajoutez des lignes qui suivent cette forme : |
<code><directories check_all="yes">/home/ton_user/ton_dossier,/ton_autre_dossier</directories></code> | <code><directories check_all="yes">/home/ton_user/ton_dossier,/ton_autre_dossier</directories></code> | ||
- | Par défaut OSSEC fait une analyse d'intégrité toutes les 22h que vous remarquerez par cette valeur : **<frequency>79200</frequency>**. | + | Par défaut OSSEC fait une analyse d'intégrité toutes les 22h que vous remarquerez par cette valeur : **<frequency>79200</frequency>**. |
**Voici un exemple d'analyse en temps réel :** | **Voici un exemple d'analyse en temps réel :** | ||
Ligne 124: | Ligne 124: | ||
Toujour indiquer le yes. L'activation se passe donc sous cette forme : | Toujour indiquer le yes. L'activation se passe donc sous cette forme : | ||
- | <file><directories check_sum="yes" heck_size="yes" check_owner="yes" check_groupe="yes" check_perm="yes">/home/ton_user/tes_dossiers</directories></file> | + | <file><directories check_sum="yes" check_size="yes" check_owner="yes" check_groupe="yes" check_perm="yes">/home/ton_user/tes_dossiers</directories></file> |
Cette forme est absolument égale à : | Cette forme est absolument égale à : | ||
<file><directories check_all="yes">/home/ton_user/tes_dossiers</directories></file> | <file><directories check_all="yes">/home/ton_user/tes_dossiers</directories></file> | ||
Ligne 131: | Ligne 131: | ||
La balise **<ignore>** sert à exclure du contenu de l'analyse. | La balise **<ignore>** sert à exclure du contenu de l'analyse. | ||
- | Vous trouverez des informations sur [[http://forum.ubuntu-fr.org/viewtopic.php?id=404799|cette discussion du forum]]. | + | Vous trouverez des informations sur [[https://forum.ubuntu-fr.org/viewtopic.php?id=404799|cette discussion du forum]]. |
==== Visionner vos alertes en temps réel ==== | ==== Visionner vos alertes en temps réel ==== | ||
Ligne 143: | Ligne 143: | ||
==== Ajouter un agent ==== | ==== Ajouter un agent ==== | ||
- | L'avantage d'OSSEC est de pouvoir monitorer des serveurs distants appelés agents. Pour les ajouter voici comment faire. | + | L'avantage d'OSSEC est de pouvoir monitorer des serveurs distants appelés agents. Pour les ajouter voici comment faire. |
On lance sur le serveur maître (celui qui monitorera les agents) la commande suivante : | On lance sur le serveur maître (celui qui monitorera les agents) la commande suivante : | ||
Ligne 174: | Ligne 174: | ||
</code> | </code> | ||
- | Voila l'agent est ajouté. Seulement pour sécuriser les transferts il faut créer un clé de confiance entre les deux entités. | + | Voila l'agent est ajouté. Seulement pour sécuriser les transferts il faut créer un clé de confiance entre les deux entités. |
Toujours du coté serveur on tape : | Toujours du coté serveur on tape : | ||
Ligne 202: | Ligne 202: | ||
</code> | </code> | ||
- | Il faut copier cette clé et la coller dans l'agent. | + | Il faut copier cette clé et la coller dans l'agent. |
Maintenant du coté agent on fait ceci : | Maintenant du coté agent on fait ceci : | ||
Ligne 287: | Ligne 287: | ||
sudo rm -f /etc/init.d/ossec | sudo rm -f /etc/init.d/ossec | ||
sudo rm -f /etc/ossec-init.conf | sudo rm -f /etc/ossec-init.conf | ||
+ | sudo deluser ossecm | ||
+ | sudo deluser ossecr | ||
+ | sudo delgroup ossec | ||
</code> | </code> | ||
Ligne 303: | Ligne 306: | ||
* **(en)** [[http://www.ossec.net/main/manual|Manuel officiel]] | * **(en)** [[http://www.ossec.net/main/manual|Manuel officiel]] | ||
* **(en)** Howto ameliore sur OSSec (PDF) [[http://blog.savoirfairelinux.com/tutoriels/livre-gratuit-ossec-how-to-the-quick-and-dirty-way/]] | * **(en)** Howto ameliore sur OSSec (PDF) [[http://blog.savoirfairelinux.com/tutoriels/livre-gratuit-ossec-how-to-the-quick-and-dirty-way/]] | ||
- | * **(fr)** [[http://www.system-linux.eu/index.php?post/2009/10/29/Installation-et-configuration-d-Ossec|Aller plus loin]] | + | * **(fr)** [[https://www.system-linux.eu/index.php?post/2009/10/29/Installation-et-configuration-d-Ossec|Aller plus loin]] |
---- | ---- | ||
//Contributeurs : [[utilisateurs:naoli|naoli]], [[utilisateurs:MaryPopy]]//. | //Contributeurs : [[utilisateurs:naoli|naoli]], [[utilisateurs:MaryPopy]]//. | ||
- | // Basé sur [[http://ubuntuforums.org/showthread.php?t=919472|« Ubuntu Intrusion Detection »]] par bodhi.zazen.// | + | // Basé sur [[https://ubuntuforums.org/showthread.php?t=919472|« Ubuntu Intrusion Detection »]] par bodhi.zazen.// |