Différences

Ci-dessous, les différences entre deux révisions de la page.

Lien vers cette vue comparative

Les deux révisions précédentes Révision précédente
Prochaine révision
Révision précédente
ossec [Le 02/04/2014, 19:45]
nzin createur du ppa, je rajoute aussi une reference au livre sur ossec que j'ai publie (en CC BY-SA)
ossec [Le 11/09/2022, 11:45] (Version actuelle)
moths-art Suppression des espaces en fin de ligne (détecté et corrigé via le bot wiki-corrector (https://forum.ubuntu-fr.org/viewtopic.php?id=2067892)
Ligne 1: Ligne 1:
-{{tag>​pare-feu ​surveillance ​réseau}}+{{tag>​pare-feu réseau}}
 ---- ----
  
 ====== Détecteur d'​intrusions OSSEC-HIDS ====== ====== Détecteur d'​intrusions OSSEC-HIDS ======
 {{ http://​www.ossec.net/​wp-content/​uploads/​2012/​06/​ossec-hids.png}} {{ http://​www.ossec.net/​wp-content/​uploads/​2012/​06/​ossec-hids.png}}
-Cette page traite de la procédure à suivre afin d'​installer et d'​utiliser OSSEC, un détecteur d'​intrusion sur machine hôte : "​HIDS"​ ([[http://​fr.wikipedia.org/​wiki/​NIDS#​HIDS_.28IDS_machine.29|Host-based Intrusion Detection System]]). Ossec est l'un des HIDS le plus utilisés. Il est très facile d'​accès tant pour l'​installation que pour l'​utilisation.+Cette page traite de la procédure à suivre afin d'​installer et d'​utiliser OSSEC, un détecteur d'​intrusion sur machine hôte : "​HIDS"​ ([[wpfr>NIDS#​HIDS_.28IDS_machine.29|Host-based Intrusion Detection System]]). Ossec est l'un des HIDS le plus utilisés. Il est très facile d'​accès tant pour l'​installation que pour l'​utilisation.
  
-Pouvant réagir c'est également une IPS, [[http://​fr.wikipedia.org/​wiki/​Syst%C3%A8me_de_pr%C3%A9vention_d%27intrusion|Système de prévention d'​intrusion]] machine.+Pouvant réagirc'est également une IPS, [[wpfr>​Système_de_prévention_d'​intrusion|Système de prévention d'​intrusion]] machine.
  
 Pour en savoir plus sur ce qu'est un IDS, vous pouvez vous référer à [[http://​www.commentcamarche.net/​detection/​ids.php3|ce lien]], ou à [[wpfr>​NIDS|celui-là]]. Pour en savoir plus sur ce qu'est un IDS, vous pouvez vous référer à [[http://​www.commentcamarche.net/​detection/​ids.php3|ce lien]], ou à [[wpfr>​NIDS|celui-là]].
Ligne 60: Ligne 60:
 Pour [[lucid|lucid 10.04 LTS]], [[12.04_lts|Precise 12.04 LTS]]:​[[https://​launchpad.net/​~nicolas-zin/​+archive/​ossec-ubuntu|PPA]] (comment installer un [[ppa|PPA]]?​),​ __préférer l'​installation manuelle__ Pour [[lucid|lucid 10.04 LTS]], [[12.04_lts|Precise 12.04 LTS]]:​[[https://​launchpad.net/​~nicolas-zin/​+archive/​ossec-ubuntu|PPA]] (comment installer un [[ppa|PPA]]?​),​ __préférer l'​installation manuelle__
 ==== Erreur au lancement dans le navigateur ==== ==== Erreur au lancement dans le navigateur ====
-Si au lancement de la page web vous obtenez une erreur de type opendir failed (/​var/​ossec) et que vous avez modifé le répertoire d'​ossec ​l'​installation (/​home/​ossec par exemple, il faut éditer le fichier /​var/​www/​ossec/​ossec_conf.php et faire les changements suivants :+Si au lancement de la page web vous obtenez une erreur de type opendir failed (/​var/​ossec) et que vous avez modifé le répertoire d'​ossec ​à l'​installation (/​home/​ossec par exemple, il faut éditer le fichier /​var/​www/​ossec/​ossec_conf.php et faire les changements suivants :
 <​code>​ <​code>​
 /* Ossec directory */ /* Ossec directory */
Ligne 76: Ligne 76:
 Pour ajouter un fichier à surveiller, [[:​tutoriel:​comment_modifier_un_fichier|ouvrez le fichier]] **/​var/​ossec/​etc/​ossec.conf**. ​ Pour ajouter un fichier à surveiller, [[:​tutoriel:​comment_modifier_un_fichier|ouvrez le fichier]] **/​var/​ossec/​etc/​ossec.conf**. ​
  
-Recherchez syscheck dans ce document xml, et ajoutez sous <​directories>​ séparé d'une virgule les dossiers à ajouter ou rajoutez des lignes qui suivent cette forme : +Recherchez syscheck dans ce document xml, et ajoutez sous <​directories>​ séparé d'une virgule les dossiers à ajouter ou rajoutez des lignes qui suivent cette forme :
  
 <​code><​directories check_all="​yes">/​home/​ton_user/​ton_dossier,/​ton_autre_dossier</​directories></​code>​ <​code><​directories check_all="​yes">/​home/​ton_user/​ton_dossier,/​ton_autre_dossier</​directories></​code>​
  
-Par défaut OSSEC fait une analyse d'​intégrité toutes les 22h que vous remarquerez par cette valeur : **<​frequency>​79200</​frequency>​**. ​+Par défaut OSSEC fait une analyse d'​intégrité toutes les 22h que vous remarquerez par cette valeur : **<​frequency>​79200</​frequency>​**.
  
 **Voici un exemple d'​analyse en temps réel :** **Voici un exemple d'​analyse en temps réel :**
Ligne 124: Ligne 124:
  
 Toujour indiquer le yes. L'​activation se passe donc sous cette forme : Toujour indiquer le yes. L'​activation se passe donc sous cette forme :
-<​file><​directories check_sum="​yes" ​heck_size="​yes"​ check_owner="​yes"​ check_groupe="​yes"​ check_perm="​yes">/​home/​ton_user/​tes_dossiers</​directories></​file>​+<​file><​directories check_sum="​yes" ​check_size="​yes"​ check_owner="​yes"​ check_groupe="​yes"​ check_perm="​yes">/​home/​ton_user/​tes_dossiers</​directories></​file>​
 Cette forme est absolument égale à : Cette forme est absolument égale à :
 <​file><​directories check_all="​yes">/​home/​ton_user/​tes_dossiers</​directories></​file>​ <​file><​directories check_all="​yes">/​home/​ton_user/​tes_dossiers</​directories></​file>​
Ligne 131: Ligne 131:
 La balise **<​ignore>​** sert à exclure du contenu de l'​analyse. La balise **<​ignore>​** sert à exclure du contenu de l'​analyse.
  
-Vous trouverez des informations sur [[http://​forum.ubuntu-fr.org/​viewtopic.php?​id=404799|cette discussion du forum]].+Vous trouverez des informations sur [[https://​forum.ubuntu-fr.org/​viewtopic.php?​id=404799|cette discussion du forum]].
  
 ==== Visionner vos alertes en temps réel ==== ==== Visionner vos alertes en temps réel ====
Ligne 143: Ligne 143:
 ==== Ajouter un agent ==== ==== Ajouter un agent ====
  
-L'​avantage d'​OSSEC est de pouvoir monitorer des serveurs distants appelés agents. Pour les ajouter voici comment faire. ​+L'​avantage d'​OSSEC est de pouvoir monitorer des serveurs distants appelés agents. Pour les ajouter voici comment faire.
  
 On lance sur le serveur maître (celui qui monitorera les agents) la commande suivante : On lance sur le serveur maître (celui qui monitorera les agents) la commande suivante :
Ligne 174: Ligne 174:
 </​code>​ </​code>​
  
-Voila l'​agent est ajouté. Seulement pour sécuriser les transferts il faut créer un clé de confiance entre les deux entités. ​+Voila l'​agent est ajouté. Seulement pour sécuriser les transferts il faut créer un clé de confiance entre les deux entités.
  
 Toujours du coté serveur on tape : Toujours du coté serveur on tape :
Ligne 202: Ligne 202:
 </​code>​ </​code>​
  
-Il faut copier cette clé et la coller dans l'​agent. ​+Il faut copier cette clé et la coller dans l'​agent.
  
 Maintenant du coté agent on fait ceci : Maintenant du coté agent on fait ceci :
Ligne 287: Ligne 287:
 sudo rm -f /​etc/​init.d/​ossec sudo rm -f /​etc/​init.d/​ossec
 sudo rm -f /​etc/​ossec-init.conf sudo rm -f /​etc/​ossec-init.conf
 +sudo deluser ossecm
 +sudo deluser ossecr
 +sudo delgroup ossec
 </​code>​ </​code>​
  
Ligne 303: Ligne 306:
   * **(en)** [[http://​www.ossec.net/​main/​manual|Manuel officiel]]   * **(en)** [[http://​www.ossec.net/​main/​manual|Manuel officiel]]
   * **(en)** Howto ameliore sur OSSec (PDF) [[http://​blog.savoirfairelinux.com/​tutoriels/​livre-gratuit-ossec-how-to-the-quick-and-dirty-way/​]]   * **(en)** Howto ameliore sur OSSec (PDF) [[http://​blog.savoirfairelinux.com/​tutoriels/​livre-gratuit-ossec-how-to-the-quick-and-dirty-way/​]]
-  * **(fr)** [[http://​www.system-linux.eu/​index.php?​post/​2009/​10/​29/​Installation-et-configuration-d-Ossec|Aller plus loin]]+  * **(fr)** [[https://​www.system-linux.eu/​index.php?​post/​2009/​10/​29/​Installation-et-configuration-d-Ossec|Aller plus loin]]
  
 ---- ----
 //​Contributeurs : [[utilisateurs:​naoli|naoli]],​ [[utilisateurs:​MaryPopy]]//​. //​Contributeurs : [[utilisateurs:​naoli|naoli]],​ [[utilisateurs:​MaryPopy]]//​.
  
-// Basé sur [[http://​ubuntuforums.org/​showthread.php?​t=919472|« Ubuntu Intrusion Detection »]] par bodhi.zazen.//​+// Basé sur [[https://​ubuntuforums.org/​showthread.php?​t=919472|« Ubuntu Intrusion Detection »]] par bodhi.zazen.//​
  • ossec.1396460708.txt.gz
  • Dernière modification: Le 02/04/2014, 19:45
  • par nzin