• Serveurs

  • [Discussion] Sécuriser son serveur avec Ossec et Prelude

Question bête : quand on securise son serveur de cette manière, le fail2ban et portsentry sont toujours necessaire ou non ?

parce que mon hosts.deny est énorme avec portsentry vu que je restart jamais mon serveur..

Merci
Bonjour à tous,

J'ai un petit souci avec l'installation d'un de mes agents.
Quand je tape la commande: /usr/local/bin/prelude-check-components
Tout est ok, mais quand je vais sur l'interface prewikka il y écrit pour prelude-correlator "manquant".
Je fait un service prelude-correlator start et la tout est ok aussi mais cela ne change rien.
Est-ce que quelqu'un a une idée s'il vous plaît?? Help me
aktarus69 wrote:Question bête : quand on securise son serveur de cette manière, le fail2ban et portsentry sont toujours necessaire ou non ?

parce que mon hosts.deny est énorme avec portsentry vu que je restart jamais mon serveur..

Merci
Alors, pour fail2ban oui et non : Ossec fait déjà sensiblement ce que fail2ban fait, mais si tu préfères la configuration de fail2ban pour configurer d'autres services, libre à toi de choisir tant qu'il n'y a pas redondance de la sécurité. Pour portsentry, non, ni Ossec ni Prelude ne le remplacent, en fait c'est même Prelude et Ossec qui l'utilisent pour t'afficher des informations utiles.

Si le hosts.deny est grand c'est tant mieux, au moins tu sais que portsentry fonctionne. Si tu veux éviter que les bans s'accumulent, utilise un cron pour vider hosts.deny et/ou flush les règles iptables concernant la chaîne INPUT (pas propre) ou une chaîne dédiée à portsentry (propre mais faut modifier un peu la configuration).
Je fait un service prelude-correlator start et la tout est ok aussi mais cela ne change rien.
Est-ce que quelqu'un a une idée s'il vous plaît?? Help me
Que dit service prelude-correlator status ?
Ok merci.
Tain je me fais spammé de mail avec des alertes de niveau 2 de OSSEC. Portsentry qui bloque a chaque fois les scans et je recois un mail à chaque fois
Un moyen de monitorer le bousin ?
Bonjour,

Pour ma part je suis toujours bloqué sur la première sonde qui ne veut pas s'enregistrer.
J'ai recommencé le tuto depuis le début mais le problème persiste.

Quand je crée le profil avec 
prelude-admin add prelude-manager --uid 0 --gid 0
je n'ai aucun problème et pour preuve : 
prelude-admin add prelude-manager --uid 0 --gid 0
Generating 2048 bits RSA private key... This might take a very long time.
[Increasing system activity will speed-up the process].
Generation in progress...

Created profile 'prelude-manager' with analyzerID '2538748025886691'.
Mais impossible d'enregistrer la sonde : 
prelude-admin registration-server prelude-manager
The "kfeurcv5" password will be requested by "prelude-admin register"
in order to connect. Please remove the quotes before using it.

Generating 1024 bits Diffie-Hellman key for anonymous authentication...
Waiting for peers install request on 0.0.0.0:5553...
could not bind to '0.0.0.0': Address already in use.
could not find any address to listen on.
prelude-admin register prelude-correlator "idmef:rw admin:r" localhost --uid 0 --gid 0

You now need to start "prelude-admin" registration-server on localhost:
example: "prelude-admin registration-server prelude-manager"

Enter the one-shot password provided on localhost:
Confirm the one-shot password provided on localhost:

Connecting to registration server (localhost:5553)... Authentication failed.

J'ai besoin de votre aide car je suis pour le moment bloqué ici et je peux pas aller plus loin dans le tuto.

Cordialement.
Bonjour à tous, je voudrais savoir les pulsation au bout de combien de temps elles doivent se remettre à jour? car mon correlator est la traine et je me demande si mon problème ne vient pas de la??
Est-ce que quelqu'un pourrait m'aider ??

Message pour FleuryK modifie localhost par ladresse IP de ton serveur et pour ma part je lance en premier la commande registrer et ensuite registration
18 jours plus tard
Bonsoir,

Juste pour comprendre...

Pourquoi ce tuto n'est pas épinglé ? Vu le nombre de "Vues" et de "réponses" il le mérite non ?
ça ferait trop de tutos épinglés tu crois pas ? Et il y a déjà un tuto sur la sécurité qui est épinglé. De plus, je ne compte plus, pour le moment, mettre à jour et/ou faire évoluer le tutoriel.
Pour un tuto de cette qualité non c'est pas trop, j'ai par ailleurs pu le mener à son terme et il est vraiment redoutable de par son efficacité. Je vais essayer celui de ex_rat pour comparer

Après c'est clair que les aleas et les contraintes du quotidien ne nous permettent pas toujours de mener à bien tout ce qu on souhaiterait faire. En tout cas bravo pour tes tutos, il ne me reste plus que celui sur le serveur DNS et je les aurai tous testé.

Merci à toi
12 jours plus tard
Bonjour,

Je plante sur un truc tout bête, je pense. J'ai postfix d'installé sur mon serveur et du coup j'essaie de lui faire envoyer les mails :
global>
    <email_notification>yes</email_notification>
    <email_to>root@localhost</email_to>
    <smtp_server>127.0.0.1</smtp_server>
    <email_from>ossec@localhost</email_from>
Mais je vois l'erreur sur ossec.log :
ossec-maild(1223): ERROR: Error Sending email to 127.0.0.1 (smtp server)


Si quelqu'un à une idée

Merci

PS : Résolu. J'avais oublié de décommenter cette ligne dans la conf postfix 
#smtp inet n - - - - smtpd
5 jours plus tard
Bonjour,

J'ai encore un soucis, je reçois un mail à chaque alerte alors que j'ai mis 
  <alerts>
    <log_alert_level>2</log_alert_level>
    <email_alert_level>8</email_alert_level>
  </alerts>
Est-ce qu'il y a autre chose à faire ?

Je vous remercie,

Robin
@robinou : Un flood d'alertes de niveau 2, je parie ? En fait, ces alertes ne tiennent pas compte de email_alert_level.

@aktarus69 : Vérifie que prelude-correlator se lance une fois les autres modules lancés.
Oui exactement un flood d'alerte de niveau 2, j'ai fait en sorte d'en avoir qu'une fois toutes les heures. Il a une solution pour éviter cela ?

Merci

PS:Mon problème a été résolu. Pour ceux qu'ils ne veulent pas être floodé par des mails de niveau 2.

Il faut modifier le fichier se trouvant : 
/var/ossec/rules/syslogd_rules.xml
Et commenter la ligne suivante : 
 <rule id="1002" level="2">
    <match>$BAD_WORDS</match>
<!--    <options>alert_by_email</options> -->
    <description>Unknown problem somewhere in the system.</description>
  </rule>
Puis redémarrer le service ossec.

Voilà
Wonderfall wrote:@robinou : Un flood d'alertes de niveau 2, je parie ? En fait, ces alertes ne tiennent pas compte de email_alert_level.

@aktarus69 : Vérifie que prelude-correlator se lance une fois les autres modules lancés.
Il est bien lancé



Mais il s'arrête après quelques minutes.
Et le script me dit qu'il est toujours lancé

A noté que quand je le lance, j'ai ca :
root@aktateam:/tmp/prelude-lml-rules-1.2.5# service prelude-correlator restart * Restarting prelude-correlator prelude-correlator 19 Dec 18:45:50 PreludeCorrelator.pluginmanager (pid:10173) INFO: [FirewallPlugi n]: disabled on user request
19 Dec 18:45:50 PreludeCorrelator.pluginmanager (pid:10173) INFO: [BusinessHourP lugin]: disabled on user request
19 Dec 18:45:59 PreludeCorrelator.main (pid:10173) INFO: 8 plugins have been loa ded.
J'ai un autre probleme. J'ai un
2015/12/19 17:54:46 ossec-syscheckd(1210): ERROR: Queue '/var/ossec/queue/ossec/queue' not accessible: 'Connection refused'.
2015/12/19 17:54:46 ossec-rootcheck(1210): ERROR: Queue '/var/ossec/queue/ossec/queue' not accessible: 'Connection refused'.
^C2015/12/19 17:54:54 ossec-syscheckd(1210): ERROR: Queue '/var/ossec/queue/ossec/queue' not accessible: 'Connection refused'.
2015/12/19 17:54:54 ossec-rootcheck(1210): ERROR: Queue '/var/ossec/queue/ossec/queue' not accessible: 'Connection refused'.
^C^X^C2015/12/19 17:55:07 ossec-syscheckd(1210): ERROR: Queue '/var/ossec/queue/ossec/queue' not accessible: 'Connection refused'.
2015/12/19 17:55:07 ossec-rootcheck(1211): ERROR: Unable to access queue: '/var/ossec/queue/ossec/queue'. Giving up..
ossec-syscheckd did not start correctly.
un mois plus tard
Tout simplement énorme ton tuto @Hardware.

Tu héstimes à combien de temps la mise en place et configuration de OSSEC / PRELUDE ? Histoire que j'essaie de me caser ça très prochainement.
12 jours plus tard
Bonjour,

J'avais laissé tomber ce tuto mais aujourd'hui j'avais envie de réinstaller Prelude (la partie Ossec est déjà configuré donc ça va aller assez vite).
Mais là je tombe sur un os.

Dès que j'exécute 
/etc/init.d/prewikka start
(dans le tuto c'est service prewikka start mais cette commande ne fonctionne pas chez moi), j'ai aussitôt ceci : 
Traceback (most recent call last):
  File "/usr/local/bin/prewikka-httpd", line 162, in <module>
    core = Core.get_core_from_config(config)
  File "/usr/local/lib/python2.7/dist-packages/prewikka/Core.py", line 70, in get_core_from_config
    _core_cache[path] = Core(path)
  File "/usr/local/lib/python2.7/dist-packages/prewikka/Core.py", line 125, in __init__
    self._initDatabase()
  File "/usr/local/lib/python2.7/dist-packages/prewikka/Core.py", line 143, in _initDatabase
    self._env.db = Database.Database(config)
  File "/usr/local/lib/python2.7/dist-packages/prewikka/Database.py", line 103, in __init__
    self.query("UPDATE Prewikka_User_Configuration SET value='n/a' WHERE (name='alert.assessment.impact.completion' OR name='alert.assessment.impact.severity') AND value='none'")
  File "/usr/local/lib/python2.7/dist-packages/prewikka/Database.py", line 141, in query
    raise PreludeDBError(e.errno)
preludedb.PreludeDBError: Table 'prewikka.Prewikka_User_Configuration' doesn't exist
Est-ce que quelqu'un à eu ce genre de problème ? Si oui comment avez vous résolu ce problème ?

Cordialement.
12 jours plus tard
A prior ta table Prewikka_User_Configuration n'existe pas dans ta base de donnée prewikka.

As tu installé la BDD prewikka ?

De mon coté j'ai un autre problème lorsque j'essaie de me connecter à prewikka, j'obtiens cette page :

erreur prewikka

Quelqu'un aurait une idée ?

Par avance merci.
16 jours plus tard
Bonjour
j'ai suivi l'ensemble du tuto et tout s'est bien déroulé mes agents sont tous connectés. mais au niveau de la remonté des alertes je n'ai que les événements sur le serveur ou j'ai fait l'installe qui remontent dans prewikka. Qu'est-ce que j'ai loupé dans mon installation?
11 jours plus tard
Salut à tous j'ai également un petit soucis avec prelude-correlator, status me renvoie deux warnings:
 prelude-correlator.service - LSB: Correlation engine for Prelude IDS
   Loaded: loaded (/etc/init.d/prelude-correlator)
   Active: active (running) since jeu. 2016-03-10 12:55:19 CET; 24h ago
  Process: 805 ExecStart=/etc/init.d/prelude-correlator start (code=exited, status=0/SUCCESS)
   CGroup: /system.slice/prelude-correlator.service
           └─1680 /usr/bin/python2.7 /usr/local/bin/prelude-correlator -d -P /var/run/prelude-correlator.pid

mars 10 12:55:17 laruche prelude-correlator[805]: 10 Mar 12:55:17 PreludeCorrelator.plugins.dshield (pid:834) INFO: Downloading done, p...g data.
mars 10 12:55:17 laruche PreludeCorrelator.plugins.dshield[834]: INFO: Downloading done, processing data.
mars 10 12:55:18 laruche prelude-correlator[805]: 10 Mar 12:55:18 PreludeCorrelator.main (pid:834) INFO: 8 plugins have been loaded.
mars 10 12:55:18 laruche PreludeCorrelator.main[834]: INFO: 8 plugins have been loaded.
mars 10 12:55:18 laruche python2.7[1680]: Libgcrypt warning: missing initialization - please fix the application
mars 10 12:55:18 laruche libprelude[1680]: INFO: Connecting to 127.0.0.1:4690 prelude Manager server.
mars 10 12:55:18 laruche libprelude[1680]: WARNING: Failover enabled: connection error with 127.0.0.1:4690: Connection refused
mars 10 12:55:19 laruche prelude-correlator[805]: .
mars 10 12:55:19 laruche systemd[1]: Started LSB: Correlation engine for Prelude IDS.
mars 10 13:16:29 laruche systemd[1]: Started LSB: Correlation engine for Prelude IDS.
Je bloque là! Apparemment les sondes sont pourtant bien enregistrées 
prelude-admin list -l
Profile            UID  GID  AnalyzerID       Permission       Issuer AnalyzerID
--------------------------------------------------------------------------------
prelude-lml        root root 3985413280716113 idmef:rw admin:r 1052977114731364
prelude-correlator root root 3139583896278100 idmef:rw admin:r 1052977114731364
prelude-manager    root root 1052977114731364 n/a              n/a
EDIT:

J'ai un autre probleme avec ossec cette fois, j'ai l'erreur "no agent available" dans la WUI Pourtant :
./agent_control -l

OSSEC HIDS agent_control. List of available agents:
   ID: 000, Name: laruche (server), IP: 127.0.0.1, Active/Local
MAIS
./list_agents -a
** No agent available.
Je suis en panne total là!

PS: Je sais pas si ça a un lien mais j'ai du passer chown www-data sur /var/ossec sinon la WUI me renvoyé une erreur du genre "can't access to ossec folder'