Inicio > General > Instalando un servidor de OSSEC en Debian 6

Instalando un servidor de OSSEC en Debian 6

Ossec es un HIDS, es decir, un Host Intrusion Detection System, y en este post vamos a ver como instalarlo.

El primer paso, es instalar el Servidor, para centralizar la recogida de logs, para eso primero lo descargamos.

wget http://www.ossec.net/files/ossec-hids-2.6.tar.gz

Nos descargamos la firma md5, y comprobamos que coincida.

wget http://www.ossec.net/files/ossec-hids-2.6_checksum.txt
md5sum ossec-hids-2.6.tar.gz -c ossec-hids-2.6_checksum.txt 

ossec-hids-2.6.tar.gz: La suma coincide

Descomprimimos el instalador, comenzamos la instalación y contestamos a las preguntas.

tar -zxvf ossec-hids-*.tar.gz
cd ossec-hids-*
./install.sh

Si nos da un error al ejecutar la instalación, es que no tenemos los compiladores instalados, los podemos instalar con el siguiente comando.

aptitude install build-essential

La instalación de realiza en el directorio “/var/ossec”.

Una vez instalado, arrancamos el servicio.

/var/ossec/bin/ossec-control start

Si nos da el siguiente error cuando arranquemos el servicio:

OSSEC analysisd: Testing rules failed. Configuration error. Exiting.

Tenemos que ejecutar el siguiente comando para solucionarlo:

ln -s /var/ossec/bin/ossec-logtest /var/ossec/ossec-logtest

Una vez escogida la opción que nos interesa, en este caso sería servidor, procedemos a instalar la interfaz web.

Primero instalamos las dependencias, en este caso Apache y el soporte para PHP

apt-get install apache2 apache2-doc apache2-utils #Instalamos apache
apt-get install libapache2-mod-php5 php5 php-pear php5-xcache #Instalamos el soporte para PHP
apt-get install php5-suhosin #Paquete para incrementar la seguridad en php

Ahora descargamos el interfaz web

wget http://www.ossec.net/files/ossec-wui-0.3.tar.gz
tar -zxvf ossec-wui-0.3.tar.gz
mv ossec-wui-0.3 /var/www/ossec
cd /var/www/ossec
./setup.sh

El usuario que indicemos puede ser cualquiera, aunque no esté en el sistema, sirve únicamente para conectarse al interfaz web si habilitamos el fichero “.htpasswd”.

Una vez hecho esto, hay que arreglar algunos permisos para que funcione correctamente.

Agregamos nuestro usuario del demonio web (e.g. www-data) al grupo de ossec:

adduser www-data ossec

Y arreglamos los permisos del directorio “tmp/”.

chmod 770 /var/www/ossec/tmp/
chgrp www-data /var/www/ossec/tmp/
/etc/init.d/apache2 restart

Ahora podemos conectarnos a nuestro servidor

http://127.0.0.1/ossec

En caso de que falle, y en lugar de mostrar la págian web, nos descargue un fichero php, hay que editar el fichero.

vi /etc/hosts

Y borrar la siguiente línea.

127.0.1.1       localhost
Categorías:General Etiquetas: , , , ,
  1. Aún no hay comentarios.
  1. No trackbacks yet.

Responder

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión / Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión / Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión / Cambiar )

Google+ photo

Estás comentando usando tu cuenta de Google+. Cerrar sesión / Cambiar )

Conectando a %s

A %d blogueros les gusta esto: