[FUG-BR] OSSEC

Celso Viana celso.vianna em gmail.com
Quarta Março 28 10:06:57 BRT 2007


Em 28/03/07, Patrick Tracanelli<eksffa at freebsdbrasil.com.br> escreveu:
> Celso Viana escreveu:
> > Em 28/03/07, Patrick Tracanelli<eksffa at freebsdbrasil.com.br> escreveu:
> >> Rafael Busetti escreveu:
> >>> Boa tarde pessoal,
> >>>
> >>> To aqui testando o OSSEC faz mais ou menos uns 4 dias, para ver todo o
> >>> funcionamento dele ... ele envia email, consegui trabalhar com ele
> >>> tranquilamente, porém em questão do Active-Responde eu não estou
> >>> conseguindo fazer ele funcionar ... precisa fazer alguma configuração
> >>> mais especifica? Procurei aqui porém não achei nada, meus logs do IPFW
> >>> são salvos no /var/log/ipfw/ipfw.log ... porém nao achei nenhum lugar
> >>> para especificar isso para o OSSEC ... como sei se está funcionadno
> >>> está parte?
> >>>
> >>> OBrigado!
> >>> -------------------------
> >>> Histórico: http://www.fug.com.br/historico/html/freebsd/
> >>> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
> >> O firewall-drop padrao nao eh o de IPFW.Se nao me engano eh de Linux,
> >> entao voce deve copiar o de ipfw (que esta no fonte do ossec, nao eh
> >> instalado) para o local apropriado:
> >>
> >> cp /path/source/do/ossec-hids-1.1/active-response/firewalls/ipfw.sh \
> >>         /var/ossec/active-response/bin/firewall-drop.sh
> >>
> >> Voila, voce esta pronto. Considere substituir o numero da regra e o
> >> numero da table de acordo com o setup do seu firewall. Se voce nao usa
> >> table e nao quer ter excecoes ao active-response entao nao precisa fazer
> >> nada.
> >>
> >> De resto basta testar e adaptar as regras de active-response, lembrando
> >> que por padrao o nivel de alertas para ativar active response eh 7 ou 8
> >> se nao me engano que eh muito baixo, sucetivel a falso-positivos. Eu por
> >> exemplo so uso active response em regras acima de 9, e inclusive minhas
> >> proprias regras tem level acima de 9.
> >>
> >> O que me remete a "testes" em ambiente de producao, que eu indico que
> >> voce substitua a regra de active response por "count" ao inves de "deny"
> >> durante suas etapas de teste (ate que voce valide as regras e diminua
> >> possibilidades de falso-positivos) senao as chances de voce se bloquear
> >> sao altas.
> >>
> >>
> >> --
> >> Patrick Tracanelli
> >>
> >> FreeBSD Brasil LTDA.
> >> (31) 3281-9633 / 3281-3547
> >> 316601 at sip.freebsdbrasil.com.br
> >> http://www.freebsdbrasil.com.br
> >> "Long live Hanin Elias, Kim Deal!"
> >>
> >> -------------------------
> >> Histórico: http://www.fug.com.br/historico/html/freebsd/
> >> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
> >>
> >
> > Patrick,
> >
> > Já tem port para esse programa?
> >
>
> Nao tem nao Celso, mas o tar ball ja instala perfeitamente no FreeBSD, a
> unica observacao pra fazer o port seria o startup pois ele usa o
> rc.local. Por outro lado esse HIDS tem processos que rodam chrootado
> enquanto outros nao, entao tem que instalar tudo num soh path. Isso pode
> merecer algumas consideracoes dos commiters. Eu iniciei o port desse
> HIDS mas nao acabei hehe.
>
> --
> Patrick Tracanelli
>
> FreeBSD Brasil LTDA.
> (31) 3281-9633 / 3281-3547
> 316601 at sip.freebsdbrasil.com.br
> http://www.freebsdbrasil.com.br
> "Long live Hanin Elias, Kim Deal!"
>
> -------------------------
> Histórico: http://www.fug.com.br/historico/html/freebsd/
> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
>

Estou esperando o anuncio do ports... valews

-- 
Celso Vianna
BSD User: 51318
http://www.bsdcounter.org

63 8404-8559
Palmas/TO


Mais detalhes sobre a lista de discussão freebsd