Nueva instalación OSSEC

Una vez mas, montando cosas para tener un poco de control. Instalación limpia de Ossec para monitorizar algunos cacharros de Cisco, a ver si conseguimos adelantar al Prime (que cumple su función perfectamente, pero a la hora de procesar logs es mas lento que el caballo del malo).

Así que … manos a la obra … una instalación de Ubuntu 16.04.3 LTS recién parcheada.

Hay que instalar unas cuantas cosas antes …

apt-get install build-essential
apt-get install mysql-dev

Lo descargamos: wget -U ossec https://bintray.com/artifact/download/ossec/ossec-hids/ossec-hids-2.8.3.tar.gz (mira a ver cual es la ultima versión antes de hacerlo).

Descomprimimos (tar xvfpz)

Entramos al directorio y empezamos con la instalación: ./install.sh).

Elegimos el idioma … esta vez toca en Ingles

Elegimos el tipo de instalación: server
Elegimos el directorio: /var/ossec
¿Quieres notificaciones por correo?: Va a ser que si. Después te pide una dirección de correo y con ella mira a ver que MX hay que usar. Luego lo cambiamos.

¿Quieres el integrity check daemon?: Si
¿Quieres el Rootkit detection engine?: Si
¿Quieres activar Active Response?: No (De momento).
¿Quieres activar el remote syslog?: Si (que es lo que vamos a usar ahora)

Un rato de espera después … ossec instalado.

Lo arrancas … /var/ossec/bin/ossec-control restart

Y ahora comienza lo gracioso … de momento … convencer a alguien de que me añada (o me deje añadir) el nuevo servidor a algunos equipos.

Y después … a configurar reglas (otro día, que hoy es fiesta).

Importante (para mi) … activar el logall … para que no borre nada.

ossec.conf
global>
logall>yes /logall>
/global>

Tags:

Add a Comment

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *