Estoy configurando un OSSEC en la máquina en ejecución existente. De mi investigación, encontré que debería estar ejecutando el siguiente comando para verificar una intrusión previa.
zcat /var/log/*.gz | /var/ossec/bin/ossec-logtest
En segundo lugar, ejecutará automáticamente el syscheck y almacenará checksum en /var/ossec/queue/syscheck/ . ¿Hay algo más que deba configurar para que comience a trabajar con OSSEC?
Si su sistema está comprometido, no puede confiar en los registros OSSEC ni en ningún otro registro generado desde esa máquina. OSSEC es bueno para detectar nuevas intrusiones a través del análisis de registros. El comando que da se usa para detectar qué regla OSSEC coincidirá con el registro dado. Por lo tanto, está transfiriendo todos los archivos de registro a la utilidad ossec-logtest y, si encuentra algo que coincida, está asumiendo que el sistema ya está comprometido. Sin embargo, el primer paso que debe hacer un ataque es borrar todas las entradas del registro para cubrir sus huellas. Es por eso que OSSEC no ayudará allí.
A su pregunta qué pasos necesita, decida qué archivos de registro va a monitorear y agregue las entradas del archivo de registro en el archivo ossec.conf (o agent.conf). Si desea monitorear ciertos archivos / directorios para el cambio, también puede hacerlo. Si tiene algunos archivos de registro personalizados que OSSEC no ha analizado fuera de la caja (puede verificarlos a través de ossec-logtest), escriba un decodificador personalizado en el local_decoder.xml. No coloque su decodificador en el archivo decoder.xml porque si actualiza su agente, se perderá.
Como último paso, si tiene un servidor de registro centralizado, configure el administrador OSSEC para reenviar todo. las alertas al servidor de registro central especificando la dirección IP en ossec.conf en el lado del administrador.
Edit: Para la seguridad del sitio web, hay algunas publicaciones muy buenas de Tony Parez:
OSSEC para la Parte I de seguridad del sitio web
OSSEC - Detectando nuevos archivos - Entendiendo cómo funciona
La documentación completa sobre la última versión de OSSEC está aquí:
La documentación es un poco liviana y descubrí que tenía que hacer muchas pruebas y errores para que hiciera exactamente lo que quería. Mi recomendación, especialmente si es nuevo en el software, sería descargar el Dispositivo Virtual del Servidor aquí:
Esto se puede importar directamente a VirtualBox y a otros administradores de VM con relativa facilidad. Esto le dará una GUI basada en CentOS con OSSEC y la IU WEB OSSEC ya instalada. Si tiene preguntas sobre su configuración, especifique EXACTAMENTE lo que está tratando de hacer aquí en el intercambio de pila o consulte la lista de correo especificada en esa página en "Enlaces de soporte".
Lea otras preguntas en las etiquetas configuration ids centos