Prparation du systme Comme on va le compiler depuis sa source, il nous faut : apt-get install make gcc Installation de OSSEC Il faut

commencer par rcuprer : apt-get install libpcre3-dev libdumbnet-dev zlib1g-dev libprelude-dev libprelude db-dev libmysqlclient-dev Compilation et installation On suppose que la tarball de Ossec est mise dans /tmp/ cd /tmp tar zxvf ossec-hids-2.6.tar.gz cd ossec-hids-2.6/src make setprelude La dernire commande construit le fichier Config.OS dans lequel se trouve les options de compilation pour avoir le support Prelude. En effet, si on regarde dedans : cat /tmp/ossec-hids-2.6/src/Config.OS donne : CPRELUDE=-DPRELUDE -lprelude -L/usr/lib -lprelude -lgnutls -lgcrypt -ldl -lpthr ead Ce qui veut dire qu on doit avoir la librairie Prelude installe (ce qui est notre cas, depuis l installation de Snort). On peut maintenant suivre la procdure standard d installation en lanant : /tmp/ossec-hids-2.6/install.sh Cette tape va poser plein de questions, il vaut mieux tre prpar : 1.La langue de l installation : fr 2.Le type d installation. Il faut choisir local si vous ne voulez Ossec que sur l o rdinateur o vous l installez, serveur pour que ce soit l installation de Ossec qui centralise les rapports d autre s Ossec tournant dans le rseau, ou client si vous avez dj le serveur install. Nous on choisit serveur car on mettra dans le post suivant plusieurs ordinateurs dans le rseau. 3.Choix du rpertoire d installation : par dfaut cela propose /var/ossec, mais on va plutt choisir /etc/ossec. 4.Envoi de mail : ici on va dire non car on a pas encore mis de serveur Postfix (qu on verra une autre fois!). De toutes manires, cela peut se changer aprs l installation (dans /etc/ossec/etc/oss ec.conf). 5.Dites oui (choix par dfaut) toutes les questions suivantes. Si vous tes dans un rseau avec une box, il doit naturellement vous proposer l IP de la box dans la White List (moi c est 192 .168.1.254 car c est une BBox). 6.Il compile Ossec, ce qui est assez rapide et signale o est le fichier de config uration d Ossec et comment le lancer.

Configuration Voil ! Il reste encore configurer proprement dans /etc/ossec/etc/ossec.conf pour dire que l on utilise Prelude: <global> <email_notification>no</email_notification> <prelude_output>yes</prelude_output> <prelude_profile>OSSEC</prelude_profile> <prelude_log_level>3</prelude_log_level> </global>... Il ne reste plus qu enregistrer auprs de Prelude Ossec. Comme pour Prelude Correlat or, Ossec a cre des utilisateurs pour mieux sparer les droits : ossec, ossecm et o ssecr. Celui qui nous intresse pour enregistrer dans Prelude est ossec dont on co nnait l uid et le gid : id ossec Ce qui donne pour moi : uid=1001(ossec) gid=1001(ossec) groupes=1001(ossec) On peut alors lancer l enregistrement, en notant qu il faut que le nom du profil soi t en majuscules : prelude-admin register OSSEC "idmef:w" 127.0.0.1 -uid 1001 -gid 1001 Et dans un autre terminal prelude-admin registration-server prelude-manager Enfin, il y a encore un petit truc disgracieux : le message d Ossec quand il essai e de se lancer au dmarrage (il apparat aussi lors de sa configuration). insserv: warning: script 'K01ossec' missing LSB tags and overridesinsserv: warning: script 'ossec' missing LSB tags and overrides Ce petit bug (Ossec viole les standards de base de Linux) a t rgl ici en rajoutant dans le header du fichier /etc/init.d/ossec les INIT INFO: #!/bin/sh# OSSEC Controls OSSEC HIDS # Author: Daniel B. Cid <dcid@ossec.net> # Modified for slackware by Jack S. Lai # Modified for Debian Squeeze by Ben Jackson <bbj@mayhemiclabs.com> ### BEGIN INIT INFO ### # Provides: ossec # Required-Start: $local_fs $remote_fs $network $syslog $named # Required-Stop: $local_fs $remote_fs $network $syslog $named # Default-Start: 2 3 4 5 # Default-Stop: 0 1 6 # X-Interactive: true # Short-Description: Start/stop OSSEC Host Intrusion Detection System ### END INIT INFO . /etc/ossec-init.conf if [ "X${DIRECTORY}" = "X" ]; then DIRECTORY="/var/ossec" fi start() {

${DIRECTORY}/bin/ossec-control start } stop() { ${DIRECTORY}/bin/ossec-control stop } status() { ${DIRECTORY}/bin/ossec-control status } ...