Contenu | Rechercher | Menus

Annonce

Si vous rencontrez des soucis à rester connecté sur le forum (ou si vous avez perdu votre mot de passe) déconnectez-vous et reconnectez-vous depuis cette page, en cochant la case "Me connecter automatiquement lors de mes prochaines visites".
Test de l'ISO d'Ubuntu francophone : nous avons besoin de testeurs pour la version francophone d'Ubuntu 14.04. Liens et informations ici.

#51 Le 09/09/2010, à 08:47

el_profesor

Re : OSSEC > NEW Détection d'intrusion + Rootcheck [solution]

Trouver sur le site officiel :

   1. The real time monitoring will not start right away. First ossec needs to scan the file system and adds each sub-directory to the realtime queue. It can take up to 30 minutes for that (wait for the log “ossec-syscheckd: INFO: Starting real time file monitoring” ).
   2. It only works with directories, not individual files. So you can monitor the /etc or C:\program files directory, but not an individual file like /etc/file.txt.

Et mon ami google traduction (qui n'est pas parfait)

Dans ce cas, les répertoires / etc /, / usr / bin et / usr / sbin seront surveillés en temps réel. La même chose s'applique à Windows aussi. Quelques remarques:

   1. La surveillance en temps réel ne démarre pas tout de suite. OSSEC abord besoin d'analyser le système de fichier et ajoute chaque sous-répertoire de la file d'attente en temps réel. Il peut prendre jusqu'à 30 minutes pour que (attendre pour le journal "OSSEC-syscheckd: INFO: Démarrage en temps réel suivi des dossiers").
   2. Il fonctionne uniquement avec des répertoires, pas des fichiers individuels. Ainsi, vous pouvez contrôler le fichier / etc ou C: \ Program Files, mais pas un fichier individuel comme / etc / file.txt.

Hors ligne

#52 Le 09/09/2010, à 08:57

el_profesor

Re : OSSEC > NEW Détection d'intrusion + Rootcheck [solution]

Mais sur le site officiel il y a aussi ça. Donc ça signifie qu'on ne peut pas le faire en temps réel mais qu'il est possible d'analyser un fichier mais sans le temps réel.

Configuring syscheck is very simple. First, you need to provide the files or directories to check. Note that when you specify a directory, it will monitor all its files recursively. Example:

        <syscheck>
          <directories check_all="yes">/etc,/usr/bin,/usr/sbin</directories>
          <directories check_all="yes">/root/users.txt,/bsd,/root/db.html</directories>
        </syscheck>

Hors ligne

#53 Le 09/09/2010, à 09:02

MaryPopy

Re : OSSEC > NEW Détection d'intrusion + Rootcheck [solution]

Merci beaucoup pour ta recherche.

Pour ton dernier message c'est ok, c'est dit par mon magasine. Mais le faite qu'il n'aient pas précisé que sa ne fonctionne pas en temps réel, je trouve que c'est une faute de professionnalisme.
Ce programme à l'aire géniale, ce qu'il faudrait c'est un livre explicatif en français.

Salut

Dernière modification par MaryPopy (Le 14/09/2010, à 08:20)


i7 950  @ 3.07GHz | 6 Go de Ram | GeForce GTS 250 512 MB | Tower sur Debian Testing 64bit | Netbook sur Debian Testing Openbox docky xfe
Mon dernier roman, édité chez Atramenta : http://www.vouillamozweb.ch

Hors ligne

#54 Le 09/09/2010, à 09:17

el_profesor

Re : OSSEC > NEW Détection d'intrusion + Rootcheck [solution]

Ouai et je précise que le temps réel prend du temps à démarrer. Lorsque je l'ai lancé, sur un de mes agent à 15h41, le temps réel a demarré à 15h57, donc ce n'est pas immédiat. Maintenant je cherche un moyen de déployer l'agent sur plusieurs serveurs. J'ai trouvé ça mais je ne comprend pas trop ce qu'il fait.
http://www.ossec.net/wiki/Integration_&_Deployment_with_cfengine

Il utilise Cfengine pour deployer l'agent. C'est bizarre car pour pouvoir déployer l'agent il avant installer cfengine_agent sur tous les serveurs. Donc ça ne sert a rien. Autant passer sur tous les serveurs et installer l'agent d'ossec ?

Dernière modification par el_profesor (Le 09/09/2010, à 09:33)

Hors ligne

#55 Le 09/09/2010, à 10:40

el_profesor

Re : OSSEC > NEW Détection d'intrusion + Rootcheck [solution]

Finalement ça ne me conviens pas, je vais devoir le faire à la main sauf si quelqu'un à une solution je prend.

Hors ligne

#56 Le 09/09/2010, à 10:42

MaryPopy

Re : OSSEC > NEW Détection d'intrusion + Rootcheck [solution]

Ils vont surement simplifier des choses pour les prochaine version ou sortir de la doc en français. Moi si il faut payer 8 € un petit manuel francisé je prend.


i7 950  @ 3.07GHz | 6 Go de Ram | GeForce GTS 250 512 MB | Tower sur Debian Testing 64bit | Netbook sur Debian Testing Openbox docky xfe
Mon dernier roman, édité chez Atramenta : http://www.vouillamozweb.ch

Hors ligne

#57 Le 09/09/2010, à 12:12

el_profesor

Re : OSSEC > NEW Détection d'intrusion + Rootcheck [solution]

Oui c'est vrai que le logiciel est trés bien fais. Mais sinon tu travail avec eux et tu sors ton manuel. Gratuit bien sur. big_smile

Hors ligne

#58 Le 09/09/2010, à 12:28

MaryPopy

Re : OSSEC > NEW Détection d'intrusion + Rootcheck [solution]

el_profesor a écrit :

Oui c'est vrai que le logiciel est trés bien fais. Mais sinon tu travail avec eux et tu sors ton manuel. Gratuit bien sur. big_smile

Ouaip... mais je suis mono-linguiste.


i7 950  @ 3.07GHz | 6 Go de Ram | GeForce GTS 250 512 MB | Tower sur Debian Testing 64bit | Netbook sur Debian Testing Openbox docky xfe
Mon dernier roman, édité chez Atramenta : http://www.vouillamozweb.ch

Hors ligne

#59 Le 09/09/2010, à 13:46

el_profesor

Re : OSSEC > NEW Détection d'intrusion + Rootcheck [solution]

Petit retour d'xp. Je pense qu'il est de toute façon inutile de spécifier de surveiller un fichier exacte car lorsqu'un fichier change dans un répertoire il t'indique le nom du fichier qui a changé.

ex : /home/confidentiel.txt
J'ai seulement se fichier là dans mon /home

J'ai mis /home dans syscheck

Résultat sur ossec :

Integrity checksum changed for: '/home/confidentiel'

On s'aperçoit qu'il spécifie le fichier qui a changé.

Hors ligne

#60 Le 09/09/2010, à 14:28

MaryPopy

Re : OSSEC > NEW Détection d'intrusion + Rootcheck [solution]

Cool

Pour les autres choses relative à Ossec je me dit... Autant les poster ici toutes les soluces et le dernier message, je fait un INDEX avec juste les pages importante et points importants. Que je déplace au fur et à mesure des ajouts.

Il y a encore le Rootcheck etc. etc.

Dernière modification par MaryPopy (Le 09/09/2010, à 14:29)


i7 950  @ 3.07GHz | 6 Go de Ram | GeForce GTS 250 512 MB | Tower sur Debian Testing 64bit | Netbook sur Debian Testing Openbox docky xfe
Mon dernier roman, édité chez Atramenta : http://www.vouillamozweb.ch

Hors ligne

#61 Le 09/09/2010, à 15:27

el_profesor

Re : OSSEC > NEW Détection d'intrusion + Rootcheck [solution]

Ok ça marche. Par c'est vrai que je n'est pas approfondi le rootcheck je ne sais pas trop comment rajouter des lignes, si c'est possible mais surtout à quoi il sert précisement.

Hors ligne

#62 Le 09/09/2010, à 22:18

MaryPopy

Re : OSSEC > NEW Détection d'intrusion + Rootcheck [solution]

el_profesor a écrit :

Ok ça marche. Par c'est vrai que je n'est pas approfondi le rootcheck je ne sais pas trop comment rajouter des lignes, si c'est possible mais surtout à quoi il sert précisement.

A bloqué les méchant... http://fr.wikipedia.org/wiki/Rootkit
Avant on nommais ça un Zomby. Un truc capable d'employer ta ressource processeur et la connexion internet. A tel point que tu as une coupure de Réseau.
PCsuite.exe de sonyerricson et autre compagnie a un comportement de rootkit. Car il peut servir à tracer son produit... Ce que vous faites avec votre ordi... Ce n'est pas toujours illégal un Rootkit.
Boinc est pour moi un Zomby (Rootkit). Il est sage. Il s'enclenche quand on le décide et se déclenche quand on décide. On l'installe et désinstalle facilement. Jl fait des calcules pour des organismes celons notre contrôle. Voilà un rootkit utile et pleinement métrisable. On choisis quelle % d'UC on lui accorde et quel % de notre bande passante.

Ceux qui connaissent Boïnc, imaginez que vous aillez 4 programmes comme lui mais que vous auriez du mal à fermer ou à désinstaller... Ce n'est pas le pied... Surtout qu'il sert sans doute des sociétés douteuses ou des actes illégal comme surcharger des serveurs pour voler l'argent du compte en banque de votre président.cool
Ou a assembler des processeurs afin d'obtenir une puissance suffisante pour alimenter leurs algorithmes capable de craquer des mots de passes de 128 bit. yikes (Et dire qu'au boulot les collègues pensent que je fait ce genre de choses quand je dit que je suis sous Linux lol )

Donc... leur intérrêt souvent est d'être le plus discret possible et se propager le plus possible. Au contraire les rootkit commerciaux dissimulé dans vos programmes ne se gênent pas pour ce montrer.

On estime en France que 1 ordinateur sur 4, héberge un zombie informatique.
Source :

http://fr.wikipedia.org/wiki/Machine_zombie

Ne pas confondre avec un processus UNIX dont ID subsiste après s'être fait "Killer" :
http://fr.wikipedia.org/wiki/Processus_zombie

J'estime que sous Linux, si on installe que des logiciels réputés, de confiance et surtout libre que ça ne doit pas exister. (Libre assure le faite que le code est vu par de nombreuses personnes passionnées et que si on y glisse qqch de douteux ce sera vite décelé).
Cependant Linux en est victime :
http://www.security-labs.org/fred/docs/ … rticle.pdf
Toute fois un hébergeur de site Web à intérêt à se protéger  contre les rootkit car il n'est pas dure d'imaginer l'impact qu'une contamination doit avoir.

J'ai cru comprendre que l'atout majeur de OSSEC est ce Rootcheck. Qui sauf erreur est un produit Libre inventé il y a peu. Et de plus c'est le seul outil fiable connu à ce jour pour s'en préservé.

Dernière modification par MaryPopy (Le 10/09/2010, à 07:46)


i7 950  @ 3.07GHz | 6 Go de Ram | GeForce GTS 250 512 MB | Tower sur Debian Testing 64bit | Netbook sur Debian Testing Openbox docky xfe
Mon dernier roman, édité chez Atramenta : http://www.vouillamozweb.ch

Hors ligne

#63 Le 09/09/2010, à 22:46

webgerald

Re : OSSEC > NEW Détection d'intrusion + Rootcheck [solution]


Utilisateur de windows puis de linux puis de windows et finalement de linux.
Pourquoi ?
Par-ce-que LINUX C'EST PLUS AMUSANT !!  : ) non ?

Hors ligne

#64 Le 12/09/2010, à 00:37

castor77

Re : OSSEC > NEW Détection d'intrusion + Rootcheck [solution]

Rule: 510 fired (level 7) -> "Host-based anomaly detection event (rootcheck)."
Portion of the log(s):

Process '5329' hidden from /proc. Possible kernel level rootkit.

--END OF NOTIFICATION

C'est pas bon ça ?


"I know this music", Le 5ème élément.

Hors ligne

#65 Le 12/09/2010, à 00:59

MaryPopy

Re : OSSEC > NEW Détection d'intrusion + Rootcheck [solution]

Non je pense pas. Mais l'alerte n'est pas très élevée. J'en ai eu jusqu'au lvl 12. Franchement j'espère qu'OSSEC deviendra plus précis.

T'as eu ça en faisant quoi ?
As-tu d'autre trace ?

Si une fois tu vois que qqch de louche est en cour fait :

sudo /etc/init.d/networking stop

Comme ça t'as tu coupes l'accès à l'intrus et tu as le temps de chercher tranquille ce qui as causé l'alerte.

Puis relance le net :

sudo /etc/init.d/networking start

Dernière modification par MaryPopy (Le 13/09/2010, à 15:25)


i7 950  @ 3.07GHz | 6 Go de Ram | GeForce GTS 250 512 MB | Tower sur Debian Testing 64bit | Netbook sur Debian Testing Openbox docky xfe
Mon dernier roman, édité chez Atramenta : http://www.vouillamozweb.ch

Hors ligne

#66 Le 13/09/2010, à 16:18

MaryPopy

Re : OSSEC > NEW Détection d'intrusion + Rootcheck [solution]

Pour avoir la détection de rootkit vous pouvez installer Rootcheck (produit libre)
Installation du rootcheck de A à Z jusqu'à sa première utilisation avec lanceur approprié wink
Explication accessible par tous... Oui oui... même par les noobs smile

Je l'ai installé séparément de OSSEC HIDS qui comprend déjà le rootcheck afin d'avoir un rapport complet des rootkit en un clic.
J'ai laissé le démon inactif par défaut étant donné qu'il est actif sur le HIDS.

Lecture complète et réalisation du tuto estimation 10 minutes la première fois :

Pré requis :
Installer les paquets :
apt://build-essential
apt://fakeroot
apt://checkinstall
Ces paquets sont utiles pour compiler le programme. SI c'est votre première compilation, Welcom my friends ! Avec ce tuto vous vous en sortirez sans problèmes.

A lire attentivement pour les débutants
Vérifiez au chapitre Download à l'adresse : http://www.ossec.net/main/rootcheck qu'il n'existe pas un paquet plus récent. A présent (13 sep. 2010) le paquet est nommé V2.4  Inutile de le télécharger depuis le site (en mode graphique). Adaptez simplement le N° de version aux lignes de code qui suivent.
Ex. Sur cette page tutoriel le numéro de version est 2.4. Si sur le lien susmentionné, vous voyez que le numéro de version est plus récent
ex : V2.6. Vous adapterez en remplaçant -2.4 dans les codes la nouvelle version -2.6.

Vous allez installer ce logiciel en mode root (sudo su). Ce mode est impardonnable en cas d'erreur yikes.
Il vous faut être vigilant et ne rien exécuter d'autre dans ce terminal jusqu'a la fin de l'installation, quand vous aurez écrit la commande exit afin que le # redevienne $

--------------------------------------------------------------------------


1. Devenir root :

sudo su

2. Téléchargez :

wget http://www.ossec.net/rootcheck/files/rootcheck-2.4.tar.gz

3. Décompressez :

tar -zxvf rootcheck-2.4.tar.gz

4. Déplacer dans /var:

mv rootcheck-2.4 /var

5. Droits fichiers et groupe :

chown -R root:ossec /var/rootcheck-2.4

6. Aller dans le répertoire:

cd /var/rootcheck-2.4

7. Lancer la compilation

checkinstall make all

Répondre y ou pressez Enter
Puis il s'affiche >> à se moment presser Enter
Puis presser Enter encore une fois.


Vous avez un message de ce type :

Rootcheck compilation completed.
Just run './ossec-rootcheck' to execute it.


===============Installation successful ================

Copying documentation directory...
./
./LICENSE
./README
grep: /var/tmp/tmp.ECROPnFPRj/newfile: Aucun fichier ou dossier de ce type

Some of the files created by the installation are inside the build
directory: /var/rootcheck-2.4

You probably don't want them to be included in the package,
especially if they are inside your home directory.
Do you want me to list them?  [n]:

Pressez [y] Une liste apparait. Faite là défiler avec la touche Enter. Pour fermer et continuer l'installation pressez "q". La liste confirme que tout le logiciel est dans /var/rootcheck-2.x
Presser [y] la 2 ème fois également ou simplement Enter vu que le y est proposé par défaut.

Grace à la commande "checkininstall make all" en substitut de "make all" (que vous avez déjà entré au point 7.) vous obtenez un .deb de désinstallation dans /var/rootcheck-2.4. Prenez l'habitude comme ici de rajouter "chekininstall" devant le "make" quand vous compilerez afin d'avoir un .deb de désinstallation. C'est super pratique quand il fonctionne.

Done. The new package has been installed and saved to

/var/rootcheck-2.4/rootcheck_2.4-1_i386.deb

You can remove it from your system anytime using:

dpkg -r rootcheck

Ainsi vous savez qu'il faudra entrer la commande dpkg -r rootcheck afin de désinstaller le rootcheck. Pour par-exemple installer une nouvelle version. Mais effectuez aussi la commande à la fin de ce tutoriel en cas de désinstallation, exceptionnellement dpkg -r rootcheck ne semble pas fonctionner.

8. ATTENTION ! Fermer le root

exit

Un $ doit apparaitre dans la console à la place du #. Si ce n'est pas le cas, réécrivez exit encore une fois.

10. Créez un raccourcis :

sudo ln -f /var/rootcheck-2.4/ossec-rootcheck /usr/bin/ossec-rootcheck

11. Lancez le programme :

ossec-rootcheck -c /var/rootcheck-2.4/rootcheck.conf

Exemple de résultat de test http://forum.ubuntu-fr.org/viewtopic.ph … 6#p3725916 au #1
Sa a fonctionné ? 
Si oui vous avez terminé. Mais continuer sera plus pratique dans l'avenir tongue

12. Vous désirez lancer un scan par un simple clic au lieu de vous souvenir de de la commande du n°11 ?
Remplacer dans les codes suivant "votre_dossier_perso" par votre nom de cession Ubuntu. Généralement votre pseudo ou votre nom désignant votre dossier personnel.

a. Ouvrir et créer par la même occasion un fichier caché (pour plus de discrétion) :

gedit /home/votre_dossier_perso/.ossec-rootcheck

b. Collez à l'intérieur du gedit :

#!/bin/bash
ossec-rootcheck -c /var/rootcheck-2.4/rootcheck.conf
echo "Pressez ENTER pour fermer"
read keyenter
exit 0

Enregistrez et fermez.

c. Rendez le exécutable :

chmod u+x /home/votre_dossier_perso/.ossec-rootcheck >> "Résultat du rootcheck"

d. Vous pouvez à présent vous servir du code suivant pour lancer un scan.

/home/votre_dossier_perso/.ossec-rootcheck

Nous allons créer un lanceur. Il suffit de coller dans le champ "commande" le code 12.d.

e. Faite clic droite sur le tableau de bord > Ajouter au tableau de bord > lanceur d'application personnalisé (le premier de la liste)
Entrez sous commande le code 12.d.
Nommez le ossec-rootcheck
Laissez ouvert, nous allons remplacer le vilain ressort par une icône sympa.
f. Ne pas oublier de choisir le type : Application dans un terminal
Perso j'ai mis des icônes oranges pour mes lanceurs OSSEC dans ma barre de tâche.
g. Mettez une icône dans votre dossier Images. Si 'image de la pilule vous convient, glissez là dans le dossier images.
Pour ma part je les choisis sur : http://www.iconfinder.com/ dont celle-ci pour le Rootcheck :
Antivirus.png
Icônes gratuites Iconfinder
h. Puis remplacez le vilain ressort en cliquant dessus et allez cherchez l'icône et fermez. Faite à nouveau clic droite et déplacer, pour mettre le lanceur à l'endroit qu'il vous convient puis fixez le pour éviter une mauvaise manipulation.  big_smile Et voilà, en un clic vous scanner la sécurité de votre machine.

-------------------------------------------------------------------------

Rootcheck se trouvant dans 3 répertoires la commande suivante désinstalle à coup sur entièrement le Rootcheck :

sudo rm -r /var/rootcheck-2.4
sudo rm /usr/bin/ossec-rootcheck
rm /home/votre_dossier_perso/.rootcheck

Faite enter pour exécuter le dernier code.
-------------------------------------------------------------------------
Ce tutoriel est pleinement fonctionnelle sans erreur et a été testé sur > Ubuntu 10.04 cool

-------------------------------------------------------------------------
Voici un exemple de résultat d'analyse : http://forum.ubuntu-fr.org/viewtopic.ph … 6#p3725916
-------------------------------------------------------------------------
Vous pouvez installer coreutils si vous désirez vérifier le paquet téléchargé au point 2 est bon.
Téléchargez et installer facilement :apt://coreutils
Allez ici : cd /home/votre_dossier_perso
Ensuite faite : md5sum rootcheck-2.4.tar.gz

Comparez le résultat avec celui présent sous la rubrique Donload > md5sup à l'adresse : http://www.ossec.net/main/rootcheck
Si il est identique celà signifie que le paquet que vous avez installé comporte la bonne signature et qu'il est parfait. Cependant attention. Pour avoir le bon résultat, il faut procédé comme indiqué ici et ne pas mettre : md5sum /home/votre_dossier_perso/rootcheck-2.4.tar.gz car cela indiquera un faut résultat.
---------------------------------------------------------------------
Si vous n'avez pas installé OSSEC HIDS vous pouvez mettre yes à la place de no
dans la configuration dans <demon>no</demon>

sudo gedit /var/rootcheck-2.4/rootcheck.conf

---------------------------------------------------------------------
Ce tuto est terminé... Bravo les manchots ! Vous avez sans doute réussi avec brio.
Quel boulot ! wink

----------------------------------------------------------------------
Apperçu de mes lanceurs pour donner une idée :

lanceurs.png

Dernière modification par MaryPopy (Le 23/09/2010, à 06:55)


i7 950  @ 3.07GHz | 6 Go de Ram | GeForce GTS 250 512 MB | Tower sur Debian Testing 64bit | Netbook sur Debian Testing Openbox docky xfe
Mon dernier roman, édité chez Atramenta : http://www.vouillamozweb.ch

Hors ligne

#67 Le 13/09/2010, à 22:40

hartman

Re : OSSEC > NEW Détection d'intrusion + Rootcheck [solution]

Salut,

Je viens d'installer Ossec, je ferai un retour sur mon expérience d'ici peu (et j'en profiterai pour demander la conf de certains ^^).

@+


P4 2.8Ghz 32bits / 1Go de RAM / GeForce FX5700LE.
Ubuntu Dapper Drake et Gutsy gibbon
Documentation sur Ubuntu, pour les débutants voir moins débutant :P

Hors ligne

#68 Le 13/09/2010, à 22:43

MaryPopy

Re : OSSEC > NEW Détection d'intrusion + Rootcheck [solution]

hartman a écrit :

Salut,

Je viens d'installer Ossec, je ferai un retour sur mon expérience d'ici peu (et j'en profiterai pour demander la conf de certains ^^).

@+

Merci, c'est cool.
Si tu veux en plus de OSSEC pour le contrôle d'intégrité, n'oublie pas le rootcheck pour les trojans, port ouverts et autres anomalies.
http://forum.ubuntu-fr.org/viewtopic.ph … 3#p3725713

Dernière modification par MaryPopy (Le 13/09/2010, à 22:45)


i7 950  @ 3.07GHz | 6 Go de Ram | GeForce GTS 250 512 MB | Tower sur Debian Testing 64bit | Netbook sur Debian Testing Openbox docky xfe
Mon dernier roman, édité chez Atramenta : http://www.vouillamozweb.ch

Hors ligne

#69 Le 14/09/2010, à 10:49

MaryPopy

Re : OSSEC > NEW Détection d'intrusion + Rootcheck [solution]

Forcer un contrôle d'intégrité imédiat :

sudo  /var/ossec/bin/agent_control -r -a
sudo  /var/ossec/bin/agent_control -r -u <agent_id>

i7 950  @ 3.07GHz | 6 Go de Ram | GeForce GTS 250 512 MB | Tower sur Debian Testing 64bit | Netbook sur Debian Testing Openbox docky xfe
Mon dernier roman, édité chez Atramenta : http://www.vouillamozweb.ch

Hors ligne

#70 Le 14/09/2010, à 18:28

hartman

Re : OSSEC > NEW Détection d'intrusion + Rootcheck [solution]

Salut,

Je n'ai pas avancé pour le moment, mais j'ai trouvé un site assez sympa sur l'install et la cohabitation avec Ossec:
http://performance.izzop.com/content/ossec

Une fois que j'aurais configuré ma machine, j'essaierai de lancer une attaque avec Nessus sur mon serveur apache, histoire de voir les réaction d'ossec.

@+


P4 2.8Ghz 32bits / 1Go de RAM / GeForce FX5700LE.
Ubuntu Dapper Drake et Gutsy gibbon
Documentation sur Ubuntu, pour les débutants voir moins débutant :P

Hors ligne

#71 Le 15/09/2010, à 08:54

el_profesor

Re : OSSEC > NEW Détection d'intrusion + Rootcheck [solution]

Oui ce site est relativement simple. Mais je ne pense pas que ça soit utile d'installer Rootcheck en plus d'OSSEC. Enfin ce n'est que mon avis. Ils font la meme chose.

Hors ligne

#72 Le 15/09/2010, à 09:04

MaryPopy

Re : OSSEC > NEW Détection d'intrusion + Rootcheck [solution]

el_profesor a écrit :

Oui ce site est relativement simple. Mais je ne pense pas que ça soit utile d'installer Rootcheck en plus d'OSSEC. Enfin ce n'est que mon avis. Ils font la meme chose.

Salut, sur OSSEC HIDS tu lances comment le rootcheck de manière à avoir un rapport ?
Je précise que le rootcheck que j'ai installé à part n'a pas son démon activé. JE le lance juste pour avoir un rapport.

Puis j'ai un souci :
Aucune commandes de ce type ne me donne de résultat :
Obtention d'une liste des fichiers modifiés:

sudo /var/ossec/bin/syscheck_control -i 000

Chez toi tu obtiens quelque chose ?

Je vais tenter une réinstalle car tout semble fonctionner sauf les commandes
du manuel http://www.ossec.net/main/manual/ Qui fait beaucoup quand même !

Dernière modification par MaryPopy (Le 15/09/2010, à 09:38)


i7 950  @ 3.07GHz | 6 Go de Ram | GeForce GTS 250 512 MB | Tower sur Debian Testing 64bit | Netbook sur Debian Testing Openbox docky xfe
Mon dernier roman, édité chez Atramenta : http://www.vouillamozweb.ch

Hors ligne

#73 Le 15/09/2010, à 10:33

el_profesor

Re : OSSEC > NEW Détection d'intrusion + Rootcheck [solution]

Personnelement je passe par l'interface graphique pour voir tous les rapports. Par contre oui ta commande ne fonctionne pas non plus sur mon installation. Pourquoi veux tu un rapport de rootchekc si il ne te detecte aucune erreur. Car je pars du principe que lorsqu'il aura trouver un rootcheck il m'enverra un mail sinon c'est qu'il n'y a rien.

Hors ligne

#74 Le 15/09/2010, à 10:47

MaryPopy

Re : OSSEC > NEW Détection d'intrusion + Rootcheck [solution]

Mon rootcheck m'a affiché des résultats douteux.

Pour l'interface graphique, je ne parviens toujours pas à l'installer en passant par Xampp. Je ne comprend pas pourquoi sa ne fonctionne pas.

Pour ma part j'ai sécurisé Xampp, j'ai installé OSSEC-WUI dans httpds, j'ai créé un lien /var/www vers /opt/lampp/htdocs puis quelque autre lien pour que les commandes fonctionnes. Mais il me semble que mon problème vien des droits d'accès..

Mon message d'erreur sur la page d'ossec :

Warning: opendir(/var/ossec) [function.opendir]: failed to open dir: Permission non accordée in /opt/lampp/htdocs/ossec-wui/lib/os_lib_handle.php on line 94
Unable to access ossec directory.

Dernière question... Tu dois toujours laisser Apache tourner ou tu peux le starter juste pour te servir d'OSSEC et le couper ensuite ?

Dernière modification par MaryPopy (Le 15/09/2010, à 12:37)


i7 950  @ 3.07GHz | 6 Go de Ram | GeForce GTS 250 512 MB | Tower sur Debian Testing 64bit | Netbook sur Debian Testing Openbox docky xfe
Mon dernier roman, édité chez Atramenta : http://www.vouillamozweb.ch

Hors ligne

#75 Le 15/09/2010, à 11:26

el_profesor

Re : OSSEC > NEW Détection d'intrusion + Rootcheck [solution]

Il y a quoi ligne 94 ? Ba si tu veux voir l'interface graphique ton serveur web doit tourner car si il ne tourne pas tu n'affichera rien. Ton rootcheck de OSSEC ? en ligne de commande tu as reussi (je suis preneur) ? Il te mets quoi ?

Hors ligne

Haut de page ↑