Ossec : installation d’un serveur

Nota : si vous utilisez la version SaaS de monitoring By DnC, le serveur Ossec fait partie de l’application, vous n’avez pas besoin de l’installer.

6. Installation d’Ossec serveur :

S’il y avait une installation d’un agent, la supprimer :
yum remove ossec-hids

(Voir : https://ossec.github.io/docs/manual/installation/installation-package.html#rpm-installation
wget -q -O - https://updates.atomicorp.com/installers/atomic |sh
sudo yum install ossec-hids ossec-hids-server
Par défaut, Ossec est installé dans /var/ossec/bin
On veut installer dans /home/ossecdnc/public_html/ossec/
Pour cela, il faut utiliser l’installation manuelle :
)
Voir : https://ossec.github.io/docs/manual/installation/install-source.html

Installation 2.8.3 :
wget -U ossec https://bintray.com/artifact/download/ossec/ossec-hids/ossec-hids-2.8.3.tar.gz
wget -U ossec https://raw.githubusercontent.com/ossec/ossec-docs/master/docs/whatsnew/checksums/2.8.3/ossec-hids-2.8.3.tar.gz.sha256
cat ossec-hids-2.8.3.tar.gz.sha256
sha256sum -C ossec-hids-2.8.3.tar.gz.sha256 ossec-hids-2.8.3.tar.gz
tar -zxvf ossec-hids-*.tar.gz
cd ossec-hids-*
./install.sh

Installation 2.9.2 :
wget -U ossec https://github.com/ossec/ossec-hids/archive/2.9.2.tar.gz
tar -zxvf 2.9.2.tar.gz
cd ossec-hids-2.9.2
./install.sh

Résultat :
...
- Le Système est Redhat Linux.
- Script d’initialisation modifié pour démarrer OSSEC HIDS pendant le boot.
- Configuration correctement terminée.
- Pour démarrer OSSEC HIDS :
/home/ossecdnc/public_html/ossec//bin/ossec-control start
- Pour arrêter OSSEC HIDS :
/home/ossecdnc/public_html/ossec//bin/ossec-control stop
- La configuration peut être visualisée ou modifiée dans /home/ossecdnc/public_
html/ossec//etc/ossec.conf

7. Ouverture des ports UDP 1514 et 514 avec CSF.

8. Chowner :

8.1 Apache/PHP tourne sous l’user ossecdnc. Pour que Ossec WUI, ossec2prtg et le site web puissent lire les logs de Ossec,
il faut chowner ossec:ossecdnc /ossec/logs et queue :
chown -R ossec:ossecdnc /home/ossecdnc/public_html/ossec/logs
chown -R ossec:ossecdnc /home/ossecdnc/public_html/ossec/queue

8.2 Malheureusement, Ossec chown et chmod les logs chaque nuit à 0h.
Avec crontab sous root :
02 00 * * * chown -R ossec:ossecdnc /home/ossecdnc/public_html/ossec/logs >/dev/null 2>&1
02 00 * * * chown -R ossec:ossecdnc /home/ossecdnc/public_html/ossec/queue >/dev/null 2>&1

Remise en cause :
Le 2017/12/04, cela fonctionne avec :
- tout le répertoire ossec en ossec:ossec,
- ossecdnc dans le groupe ossec : usermod -a -G ossec ossecdnc
- les répertoires en 770, et les fichiers en 660.

Bof : Il faut quand même chowner logs et queue !!!

9. Cron pour alerts2db :

Une tâche CRON est programmée avec pour une exécution toutes les minutes :
wget -O /dev/null https://www.ossec.dnc.global/cron/alerts2db_comp.php