Sto impostando un OSSEC su una macchina esistente. Dalla mia ricerca trovo che dovrei eseguire il seguente comando per verificare la presenza di intrusione precedente.
zcat /var/log/*.gz | /var/ossec/bin/ossec-logtest
In secondo luogo, esegue automaticamente syscheck e salva checksum in /var/ossec/queue/syscheck/ . C'è qualcos'altro che devo configurare per iniziare a lavorare con OSSEC?
Se il tuo sistema è compromesso, non puoi fidarti dei registri OSSEC o di qualsiasi altro registro generato da quella macchina. OSSEC è utile per rilevare nuove intrusioni attraverso l'analisi del registro. Il comando che fornisci viene utilizzato per rilevare quale regola OSSEC abbinerà il registro specificato. Quindi si stanno eseguendo il piping di tutti i file di registro sull'utilità di ossec-logtest e si verifica se qualcosa corrisponde, quindi si presume che il sistema sia già compromesso. Tuttavia, il primo passo di un attacco è cancellare tutte le voci del registro per coprire le sue tracce. Ecco perché l'OSSEC non ci aiuterà.
Alla domanda, quali passaggi sono necessari, decidere quali file di registro si intende monitorare e aggiungere le voci del file di registro nel file ossec.conf (o agent.conf). Se vuoi monitorare determinati file / directory per il cambiamento, puoi farlo anche tu. Se si dispone di alcuni file di registro personalizzati che non vengono analizzati da OSSEC out-of-the-box (è possibile verificarlo tramite il test ossec-log), quindi scrivere il decodificatore personalizzato nel file local_decoder.xml. Non inserire il decodificatore nel file decoder.xml perché se si aggiorna l'agente, verrà perso.
Come ultimo passaggio se si dispone di un server di registro centralizzato, quindi configurare il gestore OSSEC per inoltrare tutto gli avvisi al server di log centrale specificando l'indirizzo IP in ossec.conf sul lato gestore.
Modifica: Per la sicurezza del sito Web, ci sono alcuni messaggi molto buoni di Tony Parez:
OSSEC per la sicurezza dei siti Web Parte I
OSSEC - Rileva nuovi file - Comprensione del funzionamento
La documentazione completa sull'ultima versione di OSSEC è disponibile qui:
La documentazione è un po 'leggera e ho scoperto che dovevo fare molte prove ed errori per farlo fare esattamente ciò che volevo. La mia raccomandazione, soprattutto se sei nuovo al software, sarebbe di scaricare il Server Virtual Appliance qui:
Questo può essere importato direttamente in VirtualBox e in altri gestori VM con relativa facilità. Questo ti darà una GUI basata su CentOS in esecuzione con OSSEC e l'interfaccia utente web OSSEC già installata per te. Se hai domande sulla configurazione, specifica ESATTAMENTE cosa stai cercando di fare qui sullo scambio di pacchi o controlla la mailing list specificata in quella pagina sotto "Link di supporto".
Leggi altre domande sui tag configuration ids centos