Ubuntu-fr

MaryPopy

Re : OSSEC > NEW Détection d'intrusion + Rootcheck [solution]

Ouaip... t'es un chef... C'est que je viens de découvrir il y a un ou deux jours... Je pensait que restartez suffisait au début. J'avais pas vérifié.

Dernière modification par MaryPopy (Le 08/09/2010, à 00:11)

---

Photographe : http://www.vouillamozweb.ch

el_profesor

Re : OSSEC > NEW Détection d'intrusion + Rootcheck [solution]

Il serait bien aussi de faire un exemple de bonne configuration de OSSEC. En général quels sont les fichiers à surveiller etc ...
Explication des id rules qui apparaissent dans ossec web dans la partie search et integrity checking.

Je pense que mettre une alerte à chaque fois qu'une personne se connecte sur un serveur serait une bonne chose. Après tout dépend sur beaucoup de monde se connecte dessus. Mettre une alerte également sur tous les fichiers de conf des serveurs.

Est ce utile de laisser dans integrity checking tous les /usr/bin car moi j'ai beaucoup beaucoup d'alerte sur ces fichiers. Donc est-ce normal qu'il bouge tout le temps ? si oui il faut, je pense les enlever.

MaryPopy

Re : OSSEC > NEW Détection d'intrusion + Rootcheck [solution]

Si tu as un serveur local déjà tu bloque toutes les IP sauf pour les mises à jour et pour tes machines locales.

Il faudrait une liste de tous les composants de Linux, listés avec genre des +,++,+++ pour indiquer l'importance de surveiller un tel fichiers ?

Je ne pense pas. Pour le moment je suppose que celles proposée par OSSEC sont bonnes, puis si tu as des fichiers critiques, il me semble logique de les ajouters. Par exemple si tu bosse sur un projet dont tu connais l'importance de protéger le contenu.

Pour configurer de mannière pointue, ça demande une connaissance du système approfondie et de connaître l'utilité de chaque processus. Le mieux pour apprendre est une documentation sur l'interpretation des alèrtes (que je publierais prochainnement) et quand tu as une alerte 7 et + tu en profite pour te renseigner sur ce qu'est le processus ou fichiers conserné.

Ma fois je n'ai pas l'expérience des serveurs. Je pense que d'avoir un minimum de logiciel est conseillé. Retirer tout l'inutil. En gros avoir un OS en mode console.

Dernière modification par MaryPopy (Le 08/09/2010, à 13:18)

---

Photographe : http://www.vouillamozweb.ch

el_profesor

Re : OSSEC > NEW Détection d'intrusion + Rootcheck [solution]

Oui c'est sur c'est mieux. Par contre je n'est pas vu, est ce que c'est possible de remonter une alerte lorsqu'une personne installe un logiciel supplémentaire ?

MaryPopy

Re : OSSEC > NEW Détection d'intrusion + Rootcheck [solution]

Je ne suis pas sur d'avoir comprit mais en nautilus si tu préfère dans le répertoire des logs. T as les archives. Tu peu remonter les mois. C'est de ça qu'il s'agit ? Je suppose qu'il faut effectuer les 2 commandes d'Update suite à une installations, si non le nouveau logiciel n'aura pas de check d'intégrité. Il n'y aura donc sans doute pas de controle. Voir le point #6

Dernière modification par MaryPopy (Le 08/09/2010, à 13:09)

---

Photographe : http://www.vouillamozweb.ch

el_profesor

Re : OSSEC > NEW Détection d'intrusion + Rootcheck [solution]

Je viens de faire le test oui c'est marquer dans /var/log/messages et ça a le level 7. Par contre comment savoir quel utilisateur a effectué cette installation ? Il faut surveiller les ouverture de session de la machine ? Comment ?

MaryPopy

Re : OSSEC > NEW Détection d'intrusion + Rootcheck [solution]

Quand "root" se connecte, sa notifie même si il échoue. En tout cas quand sa vien de l'extérieur, sa te donne les IP donc tu sauras quel client à effectué une modif.

Dernière modification par MaryPopy (Le 08/09/2010, à 13:04)

---

Photographe : http://www.vouillamozweb.ch

MaryPopy

Re : OSSEC > NEW Détection d'intrusion + Rootcheck [solution]

Oui c'est sur c'est mieux. Par contre je n'est pas vu, est ce que c'est possible de remonter une alerte lorsqu'une personne installe un logiciel supplémentaire ?

Ve que j'obtiens comme info avec :

sudo tail -f /var/ossec/logs/alerts/alerts.log

On sait qui c'est connecté, quand il c'est connecté, ce qu'il a installé et ce qui à été modifié dans le système.

Installation de emesene me donne ça :

** Alert 1283944241.31373: - syslog,sudo
2010 Sep 08 13:10:41 ubuntu->/var/log/auth.log
Rule: 5402 (level 3) -> 'Successful sudo to ROOT executed'
Src IP: (none)
User: thierry
Sep  8 13:10:40 ubuntu sudo:  thierry : TTY=unknown ; PWD=/home/thierry ; USER=root ; COMMAND=/usr/sbin/synaptic

** Alert 1283944935.31663: - syslog,dpkg,
2010 Sep 08 13:22:15 ubuntu->/var/log/dpkg.log
Rule: 2901 (level 3) -> 'New dpkg (Debian Package) requested to install.'
Src IP: (none)
User: (none)
2010-09-08 13:22:15 install emesene <néant> 1.6.1-0ubuntu1

** Alert 1283944937.31915: - syslog,dpkg,
2010 Sep 08 13:22:17 ubuntu->/var/log/dpkg.log
Rule: 2901 (level 3) -> 'New dpkg (Debian Package) requested to install.'
Src IP: (none)
User: (none)
2010-09-08 13:22:17 install libsexy2 <néant> 0.1.11-2build2

** Alert 1283944939.32168: - syslog,dpkg,
2010 Sep 08 13:22:19 ubuntu->/var/log/dpkg.log
Rule: 2901 (level 3) -> 'New dpkg (Debian Package) requested to install.'
Src IP: (none)
User: (none)
2010-09-08 13:22:18 install python-libmimic <néant> 1.0.4-2build1

** Alert 1283944939.32427: - syslog,dpkg,
2010 Sep 08 13:22:19 ubuntu->/var/log/dpkg.log
Rule: 2901 (level 3) -> 'New dpkg (Debian Package) requested to install.'
Src IP: (none)
User: (none)
2010-09-08 13:22:19 install python-sexy <néant> 0.1.9-1ubuntu3

** Alert 1283944945.32683: mail  - syslog,dpkg,config_changed,
2010 Sep 08 13:22:25 ubuntu->/var/log/dpkg.log
Rule: 2902 (level 7) -> 'New dpkg (Debian Package) installed.'
Src IP: (none)
User: (none)
2010-09-08 13:22:25 status installed hicolor-icon-theme 0.11-1

** Alert 1283944947.32948: mail  - syslog,dpkg,config_changed,
2010 Sep 08 13:22:27 ubuntu->/var/log/dpkg.log
Rule: 2902 (level 7) -> 'New dpkg (Debian Package) installed.'
Src IP: (none)
User: (none)
2010-09-08 13:22:27 status installed man-db 2.5.7-2

** Alert 1283944949.33202: mail  - syslog,dpkg,config_changed,
2010 Sep 08 13:22:29 ubuntu->/var/log/dpkg.log
Rule: 2902 (level 7) -> 'New dpkg (Debian Package) installed.'
Src IP: (none)
User: (none)
2010-09-08 13:22:28 status installed desktop-file-utils 0.16-0ubuntu2

** Alert 1283944951.33474: mail  - syslog,dpkg,config_changed,
2010 Sep 08 13:22:31 ubuntu->/var/log/dpkg.log
Rule: 2902 (level 7) -> 'New dpkg (Debian Package) installed.'
Src IP: (none)
User: (none)
2010-09-08 13:22:29 status installed python-gmenu 2.30.0-0ubuntu4

** Alert 1283944951.33742: mail  - syslog,dpkg,config_changed,
2010 Sep 08 13:22:31 ubuntu->/var/log/dpkg.log
Rule: 2902 (level 7) -> 'New dpkg (Debian Package) installed.'
Src IP: (none)
User: (none)
2010-09-08 13:22:30 status installed menu 2.1.43ubuntu1

** Alert 1283944953.34000: mail  - syslog,dpkg,config_changed,
2010 Sep 08 13:22:33 ubuntu->/var/log/dpkg.log
Rule: 2902 (level 7) -> 'New dpkg (Debian Package) installed.'
Src IP: (none)
User: (none)
2010-09-08 13:22:32 status installed python-support 1.0.4ubuntu1

** Alert 1283944953.34267: mail  - syslog,dpkg,config_changed,
2010 Sep 08 13:22:33 ubuntu->/var/log/dpkg.log
Rule: 2902 (level 7) -> 'New dpkg (Debian Package) installed.'
Src IP: (none)
User: (none)
2010-09-08 13:22:33 status installed emesene 1.6.1-0ubuntu1

** Alert 1283944953.34529: mail  - syslog,dpkg,config_changed,
2010 Sep 08 13:22:33 ubuntu->/var/log/dpkg.log
Rule: 2902 (level 7) -> 'New dpkg (Debian Package) installed.'
Src IP: (none)
User: (none)
2010-09-08 13:22:33 status installed libsexy2 0.1.11-2build2

** Alert 1283944953.34792: mail  - syslog,dpkg,config_changed,
2010 Sep 08 13:22:33 ubuntu->/var/log/dpkg.log
Rule: 2902 (level 7) -> 'New dpkg (Debian Package) installed.'
Src IP: (none)
User: (none)
2010-09-08 13:22:33 status installed python-libmimic 1.0.4-2build1

** Alert 1283944955.35061: mail  - syslog,dpkg,config_changed,
2010 Sep 08 13:22:35 ubuntu->/var/log/dpkg.log
Rule: 2902 (level 7) -> 'New dpkg (Debian Package) installed.'
Src IP: (none)
User: (none)
2010-09-08 13:22:33 status installed python-sexy 0.1.9-1ubuntu3

** Alert 1283944955.35327: mail  - syslog,dpkg,config_changed,
2010 Sep 08 13:22:35 ubuntu->/var/log/dpkg.log
Rule: 2902 (level 7) -> 'New dpkg (Debian Package) installed.'
Src IP: (none)
User: (none)
2010-09-08 13:22:34 status installed menu 2.1.43ubuntu1

** Alert 1283944955.35585: mail  - syslog,dpkg,config_changed,
2010 Sep 08 13:22:35 ubuntu->/var/log/dpkg.log
Rule: 2902 (level 7) -> 'New dpkg (Debian Package) installed.'
Src IP: (none)
User: (none)
2010-09-08 13:22:34 status installed libc-bin 2.11.1-0ubuntu7.2

** Alert 1283944955.35851: mail  - syslog,dpkg,config_changed,
2010 Sep 08 13:22:35 ubuntu->/var/log/dpkg.log
Rule: 2902 (level 7) -> 'New dpkg (Debian Package) installed.'
Src IP: (none)
User: (none)
2010-09-08 13:22:34 status installed python-support 1.0.4ubuntu1

Donc quand t'as un mail qui te soucie, tu devrais en fouillant les archive dans /var/ossec/logs/alerts trouver les actions qui l'entoure.

Et maintenant que j'ai testé, on ce rend compte que Emesene comporte les paquets :

libsexy2
emesene
python-libmimic
python-sexy
hicolor-icon-theme
man-db
desktop-file-utils
python-gmenu
python-support

etc.etc

Dernière modification par MaryPopy (Le 10/09/2010, à 00:18)

---

Photographe : http://www.vouillamozweb.ch

el_profesor

Re : OSSEC > NEW Détection d'intrusion + Rootcheck [solution]

Oui j'ai vu où rajouter des régles. Il faut le faire dans local_rules.xml. Mais je chercher aussi à verifier un et un seul fichier et non un répertoire? Est ce possible ?

MaryPopy

Re : OSSEC > NEW Détection d'intrusion + Rootcheck [solution]

Oui j'ai vu où rajouter des régles. Il faut le faire dans local_rules.xml. Mais je chercher aussi à verifier un et un seul fichier et non un répertoire? Est ce possible ?

C'est quoi le chemin entier de ton : local_rules.xml Je ne me représente pas ou il est de plus je ne suis pas à la maison pour regarder.

Les rêgle xml c'est ici et non dans un fichiers en .xml. A moins que j'ai loupé qqch !

sudo gedit /var/ossec/etc/ossec.conf

J'ai de la documenteation à la maison je la consulterais. Je n'ai pas eu le temps de tout tester. De plus n'ayant pas de serveur... Enfin... si mais il n'est plus en état de marche momentanément...

Dernière modification par MaryPopy (Le 08/09/2010, à 15:00)

---

Photographe : http://www.vouillamozweb.ch

el_profesor

Re : OSSEC > NEW Détection d'intrusion + Rootcheck [solution]

Oui mais dans le ossec.conf tu met le chemin des répertoire dans le syscheck. Tu ne met pas le chemin d'un fichier sauf si tu précise son extension mais je ne pense pas.
Le local_rules.xml est dans /var/ossec/rules.

MaryPopy

Re : OSSEC > NEW Détection d'intrusion + Rootcheck [solution]

Oui mais dans le ossec.conf tu met le chemin des répertoire dans le syscheck. Tu ne met pas le chemin d'un fichier sauf si tu précise son extension mais je ne pense pas.
Le local_rules.xml est dans /var/ossec/rules.

Test, met un fichier dans le /home/fichier_perso/ton_fichiers_gedit, ajoute le dans la conf + update + restart OSSEC, enclanche l'analyse alume le tail -f comme expliqué en page 1 et tu verras si il te le notifie quand tu vas faire une modification de ce fichier de test "ton_fichiers_gedit". Tout se rêgle depuis ossec.conf normalement (par normalement j'entend "à ma connaissance"). Et je suis sur qu'il analyse les fichiers.

Dernière modification par MaryPopy (Le 08/09/2010, à 21:18)

---

Photographe : http://www.vouillamozweb.ch

el_profesor

Re : OSSEC > NEW Détection d'intrusion + Rootcheck [solution]

J'ai tout suivi à la lettre et impossible de lui faire vérifier un répertoire ou fichier. Pourtant lors du chargement du syscheck il me met bien le /root. Mais des que je modifie un fichier dans le /root il ne me fais pas la remonter.

J'ai bien sur fais un :
/var/ossec/bin/syscheck_update -a
/var/ossec/bin/syscheck_update -l
/var/ossec/bin/ossec-control restart

<directories realtime="yes" check_all="yes">/root</directories>

Logs :

2010/09/08 15:05:17 ossec-syscheckd: INFO: Directory set for real time monitoring: '/root'.

2010/09/08 15:05:49 ossec-syscheckd: INFO: Starting syscheck database (pre-scan).
2010/09/08 15:05:49 ossec-syscheckd: INFO: Initializing real time file monitoring (not started).
2010/09/08 15:11:16 ossec-syscheckd: INFO: Finished creating syscheck database (pre-scan completed).
2010/09/08 15:13:16 ossec-syscheckd: INFO: Starting syscheck scan (forwarding database).
2010/09/08 15:25:04 ossec-analysisd: Invalid integrity message in the database.
2010/09/08 15:25:04 ossec-analysisd: Invalid integrity message in the database.

Tu as déjà vu l'erreur à la fin ?

MaryPopy

Re : OSSEC > NEW Détection d'intrusion + Rootcheck [solution]

Remet comme avant. Relance... Met moi ton message à nouveau. L'erreur vient d'ailleur. Elle ne concerne pas l'intégration du root.

Au pire réinstalle OSSEC si t'est plus sur de quel erreur aurrait pu être commise. Comme un déplacement de fichiers, modification de droit, etc. Sa prend 5 min. Et renouvelle l'intégration du /root. Le temps réel ne me semble pas utile. Vu que son /home est vide ou presque. Mais pour tester pourquoi pas.

Enfin bref... pour tester la surveillance d'un fichier seuls... essaye déjà dans ton dossier perso si tu as un souci d'intégration du /root au check.

Puis au pire pour surveiller des fichiers seuls, crée un document contenant les lien vers ses fichiers.
C'est une hypothèse... C'est à tester. Ce pourrais être utile au cas ou la simple intégration d'un fichier échoue au <syscheck> ou pour une question pratique... de regroupement dans un seul document. Puis ajoute ce document au <syscheck>.

Dernière modification par MaryPopy (Le 08/09/2010, à 16:10)

---

Photographe : http://www.vouillamozweb.ch

el_profesor

Re : OSSEC > NEW Détection d'intrusion + Rootcheck [solution]

Je vais recommencer ça de suite. Voilà ce que j'ai trouvé sur le site officiel de osse :

<syscheck>
      <directories check_all="yes">/etc,/usr/bin,/usr/sbin</directories>
      <directories check_all="yes">/root/users.txt,/bsd,/root/db.html</directories>
    </syscheck>
Il précise les extensions de fichiers.

el_profesor

Re : OSSEC > NEW Détection d'intrusion + Rootcheck [solution]

Plus de message d'erreur lorsque j'enléve la modif effectué dans syscheck.

MaryPopy

Re : OSSEC > NEW Détection d'intrusion + Rootcheck [solution]

Plus de message d'erreur lorsque j'enléve la modif effectué dans syscheck.

Merci pour l'info.
Pourrais-tu nous renseigner quelle modif as tu effectués et enlevé ? C'est le realtime qui posait problème ?
Je ne comprend pas, chez moi il fonctionne... Bien que je ne m'en sert plus à présent.

Si sa vient du realtime, moi je l'ai mis après à droite du check_all. Je n'ai aucune idée si l'ordre de lecture joue un rôle... Pour le Web non mais là... Je ne sait pas. Normalement pas...

Pour les extentions de fichiers c'est claire qu'il faut les renseigner de la même mannière qu'il ont été nommés. Si tu as mis une extention à ton fichiers c'est normal que tu l'indiques dans OSSEC. Ce que disait mon message précédent c'est que le système peut le lire peut importe l'extention. A condition d'appeler le fichier par son nom "entier".

Dernière modification par MaryPopy (Le 08/09/2010, à 16:50)

---

Photographe : http://www.vouillamozweb.ch

el_profesor

Re : OSSEC > NEW Détection d'intrusion + Rootcheck [solution]

La modif effectué c'est à dire que j'ai supprimé la ligne que j'avais rajouter. Après j'ai mis le realtime après le check_all rien ! il n'analyse toujours pas mon répertoire /root. Dans ce répertoire j'ai un fichier que je modifie à chaque fois mais il ne le voit pas.

Tu as rajouter des répertoire toi dans ta config ?

MaryPopy

Re : OSSEC > NEW Détection d'intrusion + Rootcheck [solution]

Oui ça :

<directories check_all="yes" realtime="yes">/home/marypopy/.mozilla,/home/marypopy/.filezilla</directories>

Mais comme au lancement de firefox sa me prenait 60% de GPU durant 5 sec j'ai enlevé et mis sans le realtime. Mais sa fonctionnait nikel. Ok 5 sec c'est rien mais je consomme beaucoup de ressource en général et ça m'a gelé Firefox quelque fois.

Je vais remettre cette ligne ce soir, et ajouter le /root. Je te redit vers 18h ce que j'obtien.

Si non je te conseille un lien dans ton /home/ton_user vers celui qui se trouve dans /root. Il sera toujours protégé par root t'en fait pas. Puis tu l'ajoutes à ta config. Seulement est-ce que sa vas arranger ton problème ??? C'est à voir.

Dernière modification par MaryPopy (Le 08/09/2010, à 17:03)

---

Photographe : http://www.vouillamozweb.ch

el_profesor

Re : OSSEC > NEW Détection d'intrusion + Rootcheck [solution]

J'ai fais un /home à la place de mon /root et il ne veut toujours pas faire de vérification sur ce fichier. C'est bizarre quand meme. Je creuse toujours.

MaryPopy

Re : OSSEC > NEW Détection d'intrusion + Rootcheck [solution]

As tu fait une installe en sudo su ou en sudo ?
Autre info importante. Moi j'ai décompressé manuellement en glissant l'archive dans un répertoir de mon /home avant de lancer le sh.

Dernière modification par MaryPopy (Le 08/09/2010, à 17:06)

---

Photographe : http://www.vouillamozweb.ch

el_profesor

Re : OSSEC > NEW Détection d'intrusion + Rootcheck [solution]

J'ai toujours l'erreur ossec-analysisd: Invalid integrity message in the database. qui revient c'est bizarre je vais remettre mon fichier de conf comme au départ je verrais bien si ça continue.

MaryPopy

Re : OSSEC > NEW Détection d'intrusion + Rootcheck [solution]

Si tu as installé en sudo su essaye de le lancer en sudo su... pour voir... A la place du simple sudo... Ok sa parrêt abérrant mais bon... Puis si non tente la réinstall d'OSSEC en décompressant manuellement comme dit dans mon précédent message. Je n'ai pas employé[b] tar dans la console[/b]. Donc j'imagine qu'un problème de droit doit exister survenant par une installation par tar ou par sudo su... Hypothèse encor une fois.

Dernière modification par MaryPopy (Le 08/09/2010, à 17:13)

---

Photographe : http://www.vouillamozweb.ch

el_profesor

Re : OSSEC > NEW Détection d'intrusion + Rootcheck [solution]

En tout je viens de m'apercevoir que je n'ai plus rien dans le menu integrity checking. Donc l'erreur doit surement me dire qu'il ne peut plus rien afficher dans integrit checking.
Je vais rebooter la machine. Je te tiens au courant de ça demain.

el_profesor

Re : OSSEC > NEW Détection d'intrusion + Rootcheck [solution]

En tout je viens de m'apercevoir que je n'ai plus rien dans le menu integrity checking. Donc l'erreur doit surement me dire qu'il ne peut plus rien afficher dans integrit checking.

Finalement avant de poster ce message j'ai resolu l'erreur des que j'enlevemon ajout directories tout re-fonctionne.
Tu pourrais juste essayer de mettre un nouveau fichier voir ce que ça fait. Si ça se trouve il faut créer un nouveau <syscheck>
A voir.