Verificação de integridade de arquivos - Ferramenta OSSEC

Neste tutorial abordaremos uma das funcionalidades da ferramenta de detecção de intruso OSSEC (Open Source Host-based Intrusion Detection System), o Syscheck. O Syscheck é responsável pela verificação da integridade e autenticidade de arquivos. O artigo está divido em três partes, introdução, instalação e configuração.

[ Hits: 36.966 ]

Por: Rafael Rocha em 29/06/2010


Instalando o Ossec



Entendendo os tipos de instalação

Antes de instalar a ferramenta, é necessário conhecer os tipos e ordem de instalação da mesma. Os tipos são: local, server e agents.

Quando se deseja monitorar somente uma máquina, como um computador pessoal ou um pequeno servidor, o tipo de instalação escolhida deve ser o local, sendo a sua instalação bem simples e prática de se fazer (passo a passo no item "Instalando"). Entretanto, se o desejo é monitorar um conjunto de máquinas, a instalação local não deve ser escolhida. A melhor opção é instalar o OSSEC em todas as máquinas, escolhendo uma para ser o servidor OSSEC (na instalação escolhe-se a opção server), enquanto as outras serão seus clientes OSSEC, comumente chamadas de agentes (na instalação escolhe-se a opção agent). Neste caso os agentes verificam a integridade de seus arquivos localmente e enviam os resultados a máquina servidor. A ordem de instalação importa somente se o tipo de instalação escolhida for o server/agents.

Como neste tutorial iremos abordar somente o uso da ferramenta em um computador local, não é necessário o entendimento desta etapa. Caso a opção escolhida seja o server/agents, mais informações podem ser encontradas no manual da ferramenta disponível no link:

Instalando

A instalação do OSSEC é bem simples, basta seguir os passos descritos abaixo. Lembrando que todos os comandos estão sendo executados como root.

Passo 1 - Baixe a última versão do OSSEC e, se quiserem, baixem também seu checksum.

# wget http://www.ossec.net/files/ossec-hids-latest.tar.gz
# wget http://www.ossec.net/files/ossec-hids-latest_sum.txt

Caso não queiram usar o comando wget, o OSSEC pode ser baixado no link:
Notem que, apesar de basearmos esse tutorial no Linux, o OSSEC possui versões para Windows, Mac OSX, FreeBSD, OpenBSD, Solaris, entre outros (http://www.ossec.net/main/supported-systems). Então não tem desculpa para não usá-lo.

Passo 2 - (opcional) - Verifique seu checksum.

# cat ossec-hids-latest_sum.txt
MD5 (ossec-hids-latest.tar.gz) = XXXXXXXX
SHA1 (ossec-hids-latest.tar.gz) = YYYYYYYY
# md5sum ossec-hids-latest.tar.gz
MD5 (ossec-hids-latest.tar.gz) = XXXXXXXX
# sha1sum ossec-hids-latest.tar.gz
SHA1 (ossec-hids-latest.tar.gz) = YYYYYYYY

Se os valores coincidirem, significa que a instalação não veio corrompida, nem modificada (Veja só, estamos verificando a integridade de uma arquivo, é isso que o OSSEC faz para você!).

Passo 3 - Descompacte o arquivo e rode o script "./install.sh".

# tar -zxvf ossec-hids-*.tar.gz
# cd ossec-hids-*
# ./install.sh


Passo 4 - Configurando a instalação:
  • Selecione o idioma como "br" (sem aspas);
  • Selecione o tipo de instalação (Para o nosso caso vamos escolher "local");
  • Para o ambiente de instalação vamos deixar o padrão ("/var/ossec");
  • Selecione "s" para receber notificações por e-mail e logo após digite o seu e-mail. Provavelmente ele descobrirá o seu servidor SMTP automaticamente, basta confirmar;
  • Habilite o sistema para verificação de integridade ("s");
  • Não vamos habilitar o sistema de detecção de rootkit, nem o sistema de resposta automática, por não ser o escopo do tutorial, porém isto fica a seu critério;
  • Para iniciar o OSSEC HIDS:

    # /var/ossec/bin/ossec-control start

  • Para parar o OSSEC HIDS:

    # /var/ossec/bin/ossec-control stop

  • A configuração pode ser vista ou modificada em /var/ossec/etc/ossec.conf

Poderíamos começar a executar o programa agora, pois por padrão ele analisaria a integridade dos diretórios /etc, /usr/bin, /usr/sbin, /bin e /sbin. Porém, primeiro vamos configurá-lo para testar algumas de suas funcionalidades.

Página anterior     Próxima página

Páginas do artigo
   1. Introdução
   2. Instalando o Ossec
   3. Configuração do Syscheck
Outros artigos deste autor
Nenhum artigo encontrado.
Leitura recomendada

(IN)segurança Digital

Iptraf Sniffer - noções básicas

Chroot + Bind sem stress

Proxy reverso com ModSecurity no Debian Etch

SSH: Métodos e ferramentas para invasão

  
Comentários
[1] Comentário enviado por jeferson_roseira em 29/06/2010 - 13:26h

Prabéns pelo artigo.

Muito bom o conteúdo, gostei também dos exemplos.

att.

Jeferson Roseira

[2] Comentário enviado por Dombom em 01/07/2010 - 04:14h

Parabéns, muito bom artigo

[3] Comentário enviado por Roberto Ramos em 31/05/2012 - 16:16h

Rafael,

instalei o ossec para ver como ele funcionava mais gostaria de removelo, vc saberia me informar como procedo, ja pesquisei bastante no google e até o momento nada, vou continuar procurando, de antemão deixo aqui meu agradecimento.

[4] Comentário enviado por jtdest em 05/03/2015 - 19:41h


Ola blz,tenho uma duvida , pretendo implanta ossec na minha rede , mais a distribuição dos IPS das maquinas clientes e feita através do DHCP server , como adciona as maquinas cliente no servidor ossec, sendo que os IPS Sao dinamicamente distribuídos , pra melhor como funciona ossec sobre DHCP, por favor se pode me ajudar agradeço.


Contribuir com comentário




Patrocínio

Site hospedado pelo provedor RedeHost.
Linux banner

Destaques

Artigos

Dicas

Tópicos

Top 10 do mês

Scripts