Una vez mas, montando cosas para tener un poco de control. Instalación limpia de Ossec para monitorizar algunos cacharros de Cisco, a ver si conseguimos adelantar al Prime (que cumple su función perfectamente, pero a la hora de procesar logs es mas lento que el caballo del malo).
Así que … manos a la obra … una instalación de Ubuntu 16.04.3 LTS recién parcheada.
Hay que instalar unas cuantas cosas antes …
apt-get install build-essential
apt-get install mysql-dev
Lo descargamos: wget -U ossec https://bintray.com/artifact/download/ossec/ossec-hids/ossec-hids-2.8.3.tar.gz (mira a ver cual es la ultima versión antes de hacerlo).
Descomprimimos (tar xvfpz)
Entramos al directorio y empezamos con la instalación: ./install.sh).
Elegimos el idioma … esta vez toca en Ingles
Elegimos el tipo de instalación: server
Elegimos el directorio: /var/ossec
¿Quieres notificaciones por correo?: Va a ser que si. Después te pide una dirección de correo y con ella mira a ver que MX hay que usar. Luego lo cambiamos.
¿Quieres el integrity check daemon?: Si
¿Quieres el Rootkit detection engine?: Si
¿Quieres activar Active Response?: No (De momento).
¿Quieres activar el remote syslog?: Si (que es lo que vamos a usar ahora)
Un rato de espera después … ossec instalado.
Lo arrancas … /var/ossec/bin/ossec-control restart
Y ahora comienza lo gracioso … de momento … convencer a alguien de que me añada (o me deje añadir) el nuevo servidor a algunos equipos.
Y después … a configurar reglas (otro día, que hoy es fiesta).
Importante (para mi) … activar el logall … para que no borre nada.
ossec.conf
<global>
<logall>yes /logall>
</global>
Suele ser interesante limitar el número de correos que te manda … o mas bien que solo te mande lo que consideres importante, para hacerlo …
Dentro de la configuracion global:
<email_maxperhour>100 -> 100 correos por hora como maximo
O bien cambiar la prioridad de las alertas
<level>12 -> solo manda alertas con nivel 12 o superior (lo normal es que te quites las de nivel 2).