• Serveurs

  • [Discussion] Sécuriser son serveur avec Ossec et Prelude

Bonjour,

Pour ma part je suis toujours bloqué sur la première sonde qui ne veut pas s'enregistrer.
J'ai recommencé le tuto depuis le début mais le problème persiste.

Quand je crée le profil avec 
prelude-admin add prelude-manager --uid 0 --gid 0
je n'ai aucun problème et pour preuve : 
prelude-admin add prelude-manager --uid 0 --gid 0
Generating 2048 bits RSA private key... This might take a very long time.
[Increasing system activity will speed-up the process].
Generation in progress...

Created profile 'prelude-manager' with analyzerID '2538748025886691'.
Mais impossible d'enregistrer la sonde : 
prelude-admin registration-server prelude-manager
The "kfeurcv5" password will be requested by "prelude-admin register"
in order to connect. Please remove the quotes before using it.

Generating 1024 bits Diffie-Hellman key for anonymous authentication...
Waiting for peers install request on 0.0.0.0:5553...
could not bind to '0.0.0.0': Address already in use.
could not find any address to listen on.
prelude-admin register prelude-correlator "idmef:rw admin:r" localhost --uid 0 --gid 0

You now need to start "prelude-admin" registration-server on localhost:
example: "prelude-admin registration-server prelude-manager"

Enter the one-shot password provided on localhost:
Confirm the one-shot password provided on localhost:

Connecting to registration server (localhost:5553)... Authentication failed.

J'ai besoin de votre aide car je suis pour le moment bloqué ici et je peux pas aller plus loin dans le tuto.

Cordialement.
Bonjour à tous, je voudrais savoir les pulsation au bout de combien de temps elles doivent se remettre à jour? car mon correlator est la traine et je me demande si mon problème ne vient pas de la??
Est-ce que quelqu'un pourrait m'aider ??

Message pour FleuryK modifie localhost par ladresse IP de ton serveur et pour ma part je lance en premier la commande registrer et ensuite registration
18 jours plus tard
Bonsoir,

Juste pour comprendre...

Pourquoi ce tuto n'est pas épinglé ? Vu le nombre de "Vues" et de "réponses" il le mérite non ?
ça ferait trop de tutos épinglés tu crois pas ? Et il y a déjà un tuto sur la sécurité qui est épinglé. De plus, je ne compte plus, pour le moment, mettre à jour et/ou faire évoluer le tutoriel.
Pour un tuto de cette qualité non c'est pas trop, j'ai par ailleurs pu le mener à son terme et il est vraiment redoutable de par son efficacité. Je vais essayer celui de ex_rat pour comparer

Après c'est clair que les aleas et les contraintes du quotidien ne nous permettent pas toujours de mener à bien tout ce qu on souhaiterait faire. En tout cas bravo pour tes tutos, il ne me reste plus que celui sur le serveur DNS et je les aurai tous testé.

Merci à toi
12 jours plus tard
Bonjour,

Je plante sur un truc tout bête, je pense. J'ai postfix d'installé sur mon serveur et du coup j'essaie de lui faire envoyer les mails :
global>
    <email_notification>yes</email_notification>
    <email_to>root@localhost</email_to>
    <smtp_server>127.0.0.1</smtp_server>
    <email_from>ossec@localhost</email_from>
Mais je vois l'erreur sur ossec.log :
ossec-maild(1223): ERROR: Error Sending email to 127.0.0.1 (smtp server)


Si quelqu'un à une idée

Merci

PS : Résolu. J'avais oublié de décommenter cette ligne dans la conf postfix 
#smtp inet n - - - - smtpd
5 jours plus tard
Bonjour,

J'ai encore un soucis, je reçois un mail à chaque alerte alors que j'ai mis 
  <alerts>
    <log_alert_level>2</log_alert_level>
    <email_alert_level>8</email_alert_level>
  </alerts>
Est-ce qu'il y a autre chose à faire ?

Je vous remercie,

Robin
@robinou : Un flood d'alertes de niveau 2, je parie ? En fait, ces alertes ne tiennent pas compte de email_alert_level.

@aktarus69 : Vérifie que prelude-correlator se lance une fois les autres modules lancés.
Oui exactement un flood d'alerte de niveau 2, j'ai fait en sorte d'en avoir qu'une fois toutes les heures. Il a une solution pour éviter cela ?

Merci

PS:Mon problème a été résolu. Pour ceux qu'ils ne veulent pas être floodé par des mails de niveau 2.

Il faut modifier le fichier se trouvant : 
/var/ossec/rules/syslogd_rules.xml
Et commenter la ligne suivante : 
 <rule id="1002" level="2">
    <match>$BAD_WORDS</match>
<!--    <options>alert_by_email</options> -->
    <description>Unknown problem somewhere in the system.</description>
  </rule>
Puis redémarrer le service ossec.

Voilà
Wonderfall wrote:@robinou : Un flood d'alertes de niveau 2, je parie ? En fait, ces alertes ne tiennent pas compte de email_alert_level.

@aktarus69 : Vérifie que prelude-correlator se lance une fois les autres modules lancés.
Il est bien lancé



Mais il s'arrête après quelques minutes.
Et le script me dit qu'il est toujours lancé

A noté que quand je le lance, j'ai ca :
root@aktateam:/tmp/prelude-lml-rules-1.2.5# service prelude-correlator restart * Restarting prelude-correlator prelude-correlator 19 Dec 18:45:50 PreludeCorrelator.pluginmanager (pid:10173) INFO: [FirewallPlugi n]: disabled on user request
19 Dec 18:45:50 PreludeCorrelator.pluginmanager (pid:10173) INFO: [BusinessHourP lugin]: disabled on user request
19 Dec 18:45:59 PreludeCorrelator.main (pid:10173) INFO: 8 plugins have been loa ded.
J'ai un autre probleme. J'ai un
2015/12/19 17:54:46 ossec-syscheckd(1210): ERROR: Queue '/var/ossec/queue/ossec/queue' not accessible: 'Connection refused'.
2015/12/19 17:54:46 ossec-rootcheck(1210): ERROR: Queue '/var/ossec/queue/ossec/queue' not accessible: 'Connection refused'.
^C2015/12/19 17:54:54 ossec-syscheckd(1210): ERROR: Queue '/var/ossec/queue/ossec/queue' not accessible: 'Connection refused'.
2015/12/19 17:54:54 ossec-rootcheck(1210): ERROR: Queue '/var/ossec/queue/ossec/queue' not accessible: 'Connection refused'.
^C^X^C2015/12/19 17:55:07 ossec-syscheckd(1210): ERROR: Queue '/var/ossec/queue/ossec/queue' not accessible: 'Connection refused'.
2015/12/19 17:55:07 ossec-rootcheck(1211): ERROR: Unable to access queue: '/var/ossec/queue/ossec/queue'. Giving up..
ossec-syscheckd did not start correctly.
un mois plus tard
Tout simplement énorme ton tuto @Hardware.

Tu héstimes à combien de temps la mise en place et configuration de OSSEC / PRELUDE ? Histoire que j'essaie de me caser ça très prochainement.
12 jours plus tard
Bonjour,

J'avais laissé tomber ce tuto mais aujourd'hui j'avais envie de réinstaller Prelude (la partie Ossec est déjà configuré donc ça va aller assez vite).
Mais là je tombe sur un os.

Dès que j'exécute 
/etc/init.d/prewikka start
(dans le tuto c'est service prewikka start mais cette commande ne fonctionne pas chez moi), j'ai aussitôt ceci : 
Traceback (most recent call last):
  File "/usr/local/bin/prewikka-httpd", line 162, in <module>
    core = Core.get_core_from_config(config)
  File "/usr/local/lib/python2.7/dist-packages/prewikka/Core.py", line 70, in get_core_from_config
    _core_cache[path] = Core(path)
  File "/usr/local/lib/python2.7/dist-packages/prewikka/Core.py", line 125, in __init__
    self._initDatabase()
  File "/usr/local/lib/python2.7/dist-packages/prewikka/Core.py", line 143, in _initDatabase
    self._env.db = Database.Database(config)
  File "/usr/local/lib/python2.7/dist-packages/prewikka/Database.py", line 103, in __init__
    self.query("UPDATE Prewikka_User_Configuration SET value='n/a' WHERE (name='alert.assessment.impact.completion' OR name='alert.assessment.impact.severity') AND value='none'")
  File "/usr/local/lib/python2.7/dist-packages/prewikka/Database.py", line 141, in query
    raise PreludeDBError(e.errno)
preludedb.PreludeDBError: Table 'prewikka.Prewikka_User_Configuration' doesn't exist
Est-ce que quelqu'un à eu ce genre de problème ? Si oui comment avez vous résolu ce problème ?

Cordialement.
12 jours plus tard
A prior ta table Prewikka_User_Configuration n'existe pas dans ta base de donnée prewikka.

As tu installé la BDD prewikka ?

De mon coté j'ai un autre problème lorsque j'essaie de me connecter à prewikka, j'obtiens cette page :

erreur prewikka

Quelqu'un aurait une idée ?

Par avance merci.
16 jours plus tard
Bonjour
j'ai suivi l'ensemble du tuto et tout s'est bien déroulé mes agents sont tous connectés. mais au niveau de la remonté des alertes je n'ai que les événements sur le serveur ou j'ai fait l'installe qui remontent dans prewikka. Qu'est-ce que j'ai loupé dans mon installation?
11 jours plus tard
Salut à tous j'ai également un petit soucis avec prelude-correlator, status me renvoie deux warnings:
● prelude-correlator.service - LSB: Correlation engine for Prelude IDS
   Loaded: loaded (/etc/init.d/prelude-correlator)
   Active: active (running) since jeu. 2016-03-10 12:55:19 CET; 24h ago
  Process: 805 ExecStart=/etc/init.d/prelude-correlator start (code=exited, status=0/SUCCESS)
   CGroup: /system.slice/prelude-correlator.service
           └─1680 /usr/bin/python2.7 /usr/local/bin/prelude-correlator -d -P /var/run/prelude-correlator.pid

mars 10 12:55:17 laruche prelude-correlator[805]: 10 Mar 12:55:17 PreludeCorrelator.plugins.dshield (pid:834) INFO: Downloading done, p...g data.
mars 10 12:55:17 laruche PreludeCorrelator.plugins.dshield[834]: INFO: Downloading done, processing data.
mars 10 12:55:18 laruche prelude-correlator[805]: 10 Mar 12:55:18 PreludeCorrelator.main (pid:834) INFO: 8 plugins have been loaded.
mars 10 12:55:18 laruche PreludeCorrelator.main[834]: INFO: 8 plugins have been loaded.
mars 10 12:55:18 laruche python2.7[1680]: Libgcrypt warning: missing initialization - please fix the application
mars 10 12:55:18 laruche libprelude[1680]: INFO: Connecting to 127.0.0.1:4690 prelude Manager server.
mars 10 12:55:18 laruche libprelude[1680]: WARNING: Failover enabled: connection error with 127.0.0.1:4690: Connection refused
mars 10 12:55:19 laruche prelude-correlator[805]: .
mars 10 12:55:19 laruche systemd[1]: Started LSB: Correlation engine for Prelude IDS.
mars 10 13:16:29 laruche systemd[1]: Started LSB: Correlation engine for Prelude IDS.
Je bloque là! Apparemment les sondes sont pourtant bien enregistrées 
prelude-admin list -l
Profile            UID  GID  AnalyzerID       Permission       Issuer AnalyzerID
--------------------------------------------------------------------------------
prelude-lml        root root 3985413280716113 idmef:rw admin:r 1052977114731364
prelude-correlator root root 3139583896278100 idmef:rw admin:r 1052977114731364
prelude-manager    root root 1052977114731364 n/a              n/a
EDIT:

J'ai un autre probleme avec ossec cette fois, j'ai l'erreur "no agent available" dans la WUI Pourtant :
./agent_control -l

OSSEC HIDS agent_control. List of available agents:
   ID: 000, Name: laruche (server), IP: 127.0.0.1, Active/Local
MAIS
./list_agents -a
** No agent available.
Je suis en panne total là!

PS: Je sais pas si ça a un lien mais j'ai du passer chown www-data sur /var/ossec sinon la WUI me renvoyé une erreur du genre "can't access to ossec folder'
6 jours plus tard
Merci pour ce tutoriel je suis bloqué au start de prelude-correlator . 
root@sd-XXXXX:~# service prelude-correlator start
Job for prelude-correlator.service failed. See 'systemctl status prelude-correlator.service' and 'journalctl -xn' for details.
root@sd-XXXXX:~# systemctl status prelude-correlator.service
● prelude-correlator.service - LSB: Correlation engine for Prelude IDS
   Loaded: loaded (/etc/init.d/prelude-correlator)
   Active: failed (Result: exit-code) since jeu. 2016-03-17 20:32:20 CET; 4s ago
  Process: 18373 ExecStart=/etc/init.d/prelude-correlator start (code=exited, status=1/FAILURE)

mars 17 20:32:18 sd-XXXXX PreludeCorrelator.pluginmanager[18388]: INFO: [BusinessHourPlugin]: disabled on user request
mars 17 20:32:18 sd-XXXXX PreludeCorrelator.pluginmanager[18388]: INFO: [FirewallPlugin]: disabled on user request
mars 17 20:32:18 sd-XXXXX prelude-correlator[18373]: 17 Mar 20:32:18 PreludeCorrelator.pluginmanager (pid:18388) INFO: [FirewallPlugin]: disabled on user request
mars 17 20:32:19 sd-XXXXX prelude-correlator[18373]: 17 Mar 20:32:19 PreludeCorrelator.main (pid:18388) INFO: 8 plugins have been loaded.
mars 17 20:32:19 sd-XXXXX PreludeCorrelator.main[18388]: INFO: 8 plugins have been loaded.
mars 17 20:32:19 sd-XXXXX python2.7[18393]: Libgcrypt warning: missing initialization - please fix the application
mars 17 20:32:20 sd-XXXXX prelude-correlator[18373]: failed!
mars 17 20:32:20 sd-XXXXX systemd[1]: prelude-correlator.service: control process exited, code=exited status=1
mars 17 20:32:20 sd-XXXXX systemd[1]: Failed to start LSB: Correlation engine for Prelude IDS.
mars 17 20:32:20 sd-XXXXX systemd[1]: Unit prelude-correlator.service entered failed state.
Forcement prelude-correlator est noté Manquant dans Prewikka
Une idée ?
merci a toi super intéressant O_+
un mois plus tard
bonjour ,je viens vers vous car un petit soucis après l'instal de prewikka quand je teste de me co j'ai ceci 
Traceback (most recent call last):
  File "/usr/local/lib/python2.7/dist-packages/prewikka/Core.py", line 386, in process
    request.content = template.respond()
  File "/usr/local/lib/python2.7/dist-packages/prewikka/templates/HTMLDocument.py", line 144, in respond
    _v = VFFSL(SL,"body",True) # u'$body' on line 21, col 9
  File "/usr/local/lib/python2.7/dist-packages/prewikka/templates/TopLayout.py", line 133, in body
    _v = VFFSL(SL,"toplayout_content",True) # u'$toplayout_content' on line 14, col 3
  File "/usr/local/lib/python2.7/dist-packages/prewikka/templates/LoginPasswordForm.py", line 97, in toplayout_content
    localization.setLocale(localization._DEFAULT_LANGUAGE)
  File "/usr/local/lib/python2.7/dist-packages/prewikka/localization.py", line 79, in setLocale
    locale.setlocale(locale.LC_ALL, "%s.%s" %(lang.encode('utf8'), str(_DEFAULT_ENCODING)))
  File "/usr/lib/python2.7/locale.py", line 547, in setlocale
    return _setlocale(category, locale)
Error: unsupported locale setting
j'ai regardé au niveaux des pack de langue j'ai tous ça d'instalé 
C
C.UTF-8
POSIX
en_GB
en_GB.iso88591
en_GB.iso885915
en_GB.utf8
en_US.utf8
fr_FR
fr_FR.iso88591
fr_FR.iso885915@euro
fr_FR.utf8
fr_FR.utf8@euro
fr_FR@euro
français
french
donc je ne trouve pas d’où viens le soucis si une personne a une idée svp ?
13 jours plus tard

Bonjour,
Quelcun peut m'aider s'il vous plait?
je suis bloqué à ce niveau!
Quand j'essaie de voir le statut de prewikka
je reçoit un message comme quoi:
"Prewikka n'est pas en service"