• Serveurs

  • [Discussion] Sécuriser son serveur avec Ossec et Prelude

Oui exactement un flood d'alerte de niveau 2, j'ai fait en sorte d'en avoir qu'une fois toutes les heures. Il a une solution pour éviter cela ?

Merci

PS:Mon problème a été résolu. Pour ceux qu'ils ne veulent pas être floodé par des mails de niveau 2.

Il faut modifier le fichier se trouvant : 
/var/ossec/rules/syslogd_rules.xml
Et commenter la ligne suivante : 
 <rule id="1002" level="2">
    <match>$BAD_WORDS</match>
<!--    <options>alert_by_email</options> -->
    <description>Unknown problem somewhere in the system.</description>
  </rule>
Puis redémarrer le service ossec.

Voilà
Wonderfall wrote:@robinou : Un flood d'alertes de niveau 2, je parie ? En fait, ces alertes ne tiennent pas compte de email_alert_level.

@aktarus69 : Vérifie que prelude-correlator se lance une fois les autres modules lancés.
Il est bien lancé



Mais il s'arrête après quelques minutes.
Et le script me dit qu'il est toujours lancé

A noté que quand je le lance, j'ai ca :
root@aktateam:/tmp/prelude-lml-rules-1.2.5# service prelude-correlator restart * Restarting prelude-correlator prelude-correlator 19 Dec 18:45:50 PreludeCorrelator.pluginmanager (pid:10173) INFO: [FirewallPlugi n]: disabled on user request
19 Dec 18:45:50 PreludeCorrelator.pluginmanager (pid:10173) INFO: [BusinessHourP lugin]: disabled on user request
19 Dec 18:45:59 PreludeCorrelator.main (pid:10173) INFO: 8 plugins have been loa ded.
J'ai un autre probleme. J'ai un
2015/12/19 17:54:46 ossec-syscheckd(1210): ERROR: Queue '/var/ossec/queue/ossec/queue' not accessible: 'Connection refused'.
2015/12/19 17:54:46 ossec-rootcheck(1210): ERROR: Queue '/var/ossec/queue/ossec/queue' not accessible: 'Connection refused'.
^C2015/12/19 17:54:54 ossec-syscheckd(1210): ERROR: Queue '/var/ossec/queue/ossec/queue' not accessible: 'Connection refused'.
2015/12/19 17:54:54 ossec-rootcheck(1210): ERROR: Queue '/var/ossec/queue/ossec/queue' not accessible: 'Connection refused'.
^C^X^C2015/12/19 17:55:07 ossec-syscheckd(1210): ERROR: Queue '/var/ossec/queue/ossec/queue' not accessible: 'Connection refused'.
2015/12/19 17:55:07 ossec-rootcheck(1211): ERROR: Unable to access queue: '/var/ossec/queue/ossec/queue'. Giving up..
ossec-syscheckd did not start correctly.
un mois plus tard
Tout simplement énorme ton tuto @Hardware.

Tu héstimes à combien de temps la mise en place et configuration de OSSEC / PRELUDE ? Histoire que j'essaie de me caser ça très prochainement.
12 jours plus tard
Bonjour,

J'avais laissé tomber ce tuto mais aujourd'hui j'avais envie de réinstaller Prelude (la partie Ossec est déjà configuré donc ça va aller assez vite).
Mais là je tombe sur un os.

Dès que j'exécute 
/etc/init.d/prewikka start
(dans le tuto c'est service prewikka start mais cette commande ne fonctionne pas chez moi), j'ai aussitôt ceci : 
Traceback (most recent call last):
  File "/usr/local/bin/prewikka-httpd", line 162, in <module>
    core = Core.get_core_from_config(config)
  File "/usr/local/lib/python2.7/dist-packages/prewikka/Core.py", line 70, in get_core_from_config
    _core_cache[path] = Core(path)
  File "/usr/local/lib/python2.7/dist-packages/prewikka/Core.py", line 125, in __init__
    self._initDatabase()
  File "/usr/local/lib/python2.7/dist-packages/prewikka/Core.py", line 143, in _initDatabase
    self._env.db = Database.Database(config)
  File "/usr/local/lib/python2.7/dist-packages/prewikka/Database.py", line 103, in __init__
    self.query("UPDATE Prewikka_User_Configuration SET value='n/a' WHERE (name='alert.assessment.impact.completion' OR name='alert.assessment.impact.severity') AND value='none'")
  File "/usr/local/lib/python2.7/dist-packages/prewikka/Database.py", line 141, in query
    raise PreludeDBError(e.errno)
preludedb.PreludeDBError: Table 'prewikka.Prewikka_User_Configuration' doesn't exist
Est-ce que quelqu'un à eu ce genre de problème ? Si oui comment avez vous résolu ce problème ?

Cordialement.
12 jours plus tard
A prior ta table Prewikka_User_Configuration n'existe pas dans ta base de donnée prewikka.

As tu installé la BDD prewikka ?

De mon coté j'ai un autre problème lorsque j'essaie de me connecter à prewikka, j'obtiens cette page :

erreur prewikka

Quelqu'un aurait une idée ?

Par avance merci.
16 jours plus tard
Bonjour
j'ai suivi l'ensemble du tuto et tout s'est bien déroulé mes agents sont tous connectés. mais au niveau de la remonté des alertes je n'ai que les événements sur le serveur ou j'ai fait l'installe qui remontent dans prewikka. Qu'est-ce que j'ai loupé dans mon installation?
11 jours plus tard
Salut à tous j'ai également un petit soucis avec prelude-correlator, status me renvoie deux warnings:
● prelude-correlator.service - LSB: Correlation engine for Prelude IDS
   Loaded: loaded (/etc/init.d/prelude-correlator)
   Active: active (running) since jeu. 2016-03-10 12:55:19 CET; 24h ago
  Process: 805 ExecStart=/etc/init.d/prelude-correlator start (code=exited, status=0/SUCCESS)
   CGroup: /system.slice/prelude-correlator.service
           └─1680 /usr/bin/python2.7 /usr/local/bin/prelude-correlator -d -P /var/run/prelude-correlator.pid

mars 10 12:55:17 laruche prelude-correlator[805]: 10 Mar 12:55:17 PreludeCorrelator.plugins.dshield (pid:834) INFO: Downloading done, p...g data.
mars 10 12:55:17 laruche PreludeCorrelator.plugins.dshield[834]: INFO: Downloading done, processing data.
mars 10 12:55:18 laruche prelude-correlator[805]: 10 Mar 12:55:18 PreludeCorrelator.main (pid:834) INFO: 8 plugins have been loaded.
mars 10 12:55:18 laruche PreludeCorrelator.main[834]: INFO: 8 plugins have been loaded.
mars 10 12:55:18 laruche python2.7[1680]: Libgcrypt warning: missing initialization - please fix the application
mars 10 12:55:18 laruche libprelude[1680]: INFO: Connecting to 127.0.0.1:4690 prelude Manager server.
mars 10 12:55:18 laruche libprelude[1680]: WARNING: Failover enabled: connection error with 127.0.0.1:4690: Connection refused
mars 10 12:55:19 laruche prelude-correlator[805]: .
mars 10 12:55:19 laruche systemd[1]: Started LSB: Correlation engine for Prelude IDS.
mars 10 13:16:29 laruche systemd[1]: Started LSB: Correlation engine for Prelude IDS.
Je bloque là! Apparemment les sondes sont pourtant bien enregistrées 
prelude-admin list -l
Profile            UID  GID  AnalyzerID       Permission       Issuer AnalyzerID
--------------------------------------------------------------------------------
prelude-lml        root root 3985413280716113 idmef:rw admin:r 1052977114731364
prelude-correlator root root 3139583896278100 idmef:rw admin:r 1052977114731364
prelude-manager    root root 1052977114731364 n/a              n/a
EDIT:

J'ai un autre probleme avec ossec cette fois, j'ai l'erreur "no agent available" dans la WUI Pourtant :
./agent_control -l

OSSEC HIDS agent_control. List of available agents:
   ID: 000, Name: laruche (server), IP: 127.0.0.1, Active/Local
MAIS
./list_agents -a
** No agent available.
Je suis en panne total là!

PS: Je sais pas si ça a un lien mais j'ai du passer chown www-data sur /var/ossec sinon la WUI me renvoyé une erreur du genre "can't access to ossec folder'
6 jours plus tard
Merci pour ce tutoriel je suis bloqué au start de prelude-correlator . 
root@sd-XXXXX:~# service prelude-correlator start
Job for prelude-correlator.service failed. See 'systemctl status prelude-correlator.service' and 'journalctl -xn' for details.
root@sd-XXXXX:~# systemctl status prelude-correlator.service
● prelude-correlator.service - LSB: Correlation engine for Prelude IDS
   Loaded: loaded (/etc/init.d/prelude-correlator)
   Active: failed (Result: exit-code) since jeu. 2016-03-17 20:32:20 CET; 4s ago
  Process: 18373 ExecStart=/etc/init.d/prelude-correlator start (code=exited, status=1/FAILURE)

mars 17 20:32:18 sd-XXXXX PreludeCorrelator.pluginmanager[18388]: INFO: [BusinessHourPlugin]: disabled on user request
mars 17 20:32:18 sd-XXXXX PreludeCorrelator.pluginmanager[18388]: INFO: [FirewallPlugin]: disabled on user request
mars 17 20:32:18 sd-XXXXX prelude-correlator[18373]: 17 Mar 20:32:18 PreludeCorrelator.pluginmanager (pid:18388) INFO: [FirewallPlugin]: disabled on user request
mars 17 20:32:19 sd-XXXXX prelude-correlator[18373]: 17 Mar 20:32:19 PreludeCorrelator.main (pid:18388) INFO: 8 plugins have been loaded.
mars 17 20:32:19 sd-XXXXX PreludeCorrelator.main[18388]: INFO: 8 plugins have been loaded.
mars 17 20:32:19 sd-XXXXX python2.7[18393]: Libgcrypt warning: missing initialization - please fix the application
mars 17 20:32:20 sd-XXXXX prelude-correlator[18373]: failed!
mars 17 20:32:20 sd-XXXXX systemd[1]: prelude-correlator.service: control process exited, code=exited status=1
mars 17 20:32:20 sd-XXXXX systemd[1]: Failed to start LSB: Correlation engine for Prelude IDS.
mars 17 20:32:20 sd-XXXXX systemd[1]: Unit prelude-correlator.service entered failed state.
Forcement prelude-correlator est noté Manquant dans Prewikka
Une idée ?
merci a toi super intéressant O_+
un mois plus tard
bonjour ,je viens vers vous car un petit soucis après l'instal de prewikka quand je teste de me co j'ai ceci 
Traceback (most recent call last):
  File "/usr/local/lib/python2.7/dist-packages/prewikka/Core.py", line 386, in process
    request.content = template.respond()
  File "/usr/local/lib/python2.7/dist-packages/prewikka/templates/HTMLDocument.py", line 144, in respond
    _v = VFFSL(SL,"body",True) # u'$body' on line 21, col 9
  File "/usr/local/lib/python2.7/dist-packages/prewikka/templates/TopLayout.py", line 133, in body
    _v = VFFSL(SL,"toplayout_content",True) # u'$toplayout_content' on line 14, col 3
  File "/usr/local/lib/python2.7/dist-packages/prewikka/templates/LoginPasswordForm.py", line 97, in toplayout_content
    localization.setLocale(localization._DEFAULT_LANGUAGE)
  File "/usr/local/lib/python2.7/dist-packages/prewikka/localization.py", line 79, in setLocale
    locale.setlocale(locale.LC_ALL, "%s.%s" %(lang.encode('utf8'), str(_DEFAULT_ENCODING)))
  File "/usr/lib/python2.7/locale.py", line 547, in setlocale
    return _setlocale(category, locale)
Error: unsupported locale setting
j'ai regardé au niveaux des pack de langue j'ai tous ça d'instalé 
C
C.UTF-8
POSIX
en_GB
en_GB.iso88591
en_GB.iso885915
en_GB.utf8
en_US.utf8
fr_FR
fr_FR.iso88591
fr_FR.iso885915@euro
fr_FR.utf8
fr_FR.utf8@euro
fr_FR@euro
français
french
donc je ne trouve pas d’où viens le soucis si une personne a une idée svp ?
13 jours plus tard

Bonjour,
Quelcun peut m'aider s'il vous plait?
je suis bloqué à ce niveau!
Quand j'essaie de voir le statut de prewikka
je reçoit un message comme quoi:
"Prewikka n'est pas en service"

19 jours plus tard

Hello tout le monde,

Je reviens vous voir pour vous dire qu'il y à une version 3.0 qui est sorti pour prélude+prewikka.

Il n'y a encore aucune documentation sur l'installation et je me tire les cheveux dessus pour essayer de l'installer et le faire fonctionner.

Résultat j'ai eu plusieurs problème dont un que je n'arrive pas à résoudre. Quand j'ouvre l'interface web prewikka, je me retrouve automatiquement connecter en admin. Quand je vais dans les paramètre admin puis Apps et je voit qu'il y Authentification anonyme mais impossible à décocher.

Est-ce que quelqu’un peut m'aider ou si quelqu'un a trouvé un tuto sur le net sur l'installation de cette nouvelle version (autre que le site officiel prélude car même avec cela, cela ne fonctionne pas) je suis preneur.

haha je l'avais pas vu celle la^^ C'est génial je peux avancer sur mon installation grâce à toi

Merci beaucoup
8 jours plus tard
Bonjour j'essaie de m'aider du tutoriel pour installer la version 3 de prelude & prewikka

jusqu’à l'installation de prewikka tous va bien mais quand je fais un service prewikka status j'ai le message d'erreur suivant :

● prewikka.service - LSB: Prewikka est l'interface officielle de Prelude-IDS
Loaded: loaded (/etc/init.d/prewikka)
Active: active (exited) since jeu. 2016-06-02 13:06:48 CEST; 9min ago
Process: 10177 ExecStart=/etc/init.d/prewikka start (code=exited, status=0/SUCCESS)

juin 02 13:06:49 prewikka[10177]: from prewikka import view, config, log, database, idmefdatabase, version, \
juin 02 13:06:49 prewikka[10177]: File "/usr/local/lib/python2.7/dist-packages/prewikka/view.py", line 23, in <module>
juin 02 13:06:49 prewikka[10177]: from prewikka import pluginmanager, template, usergroup, error, log, utils, env
juin 02 13:06:49 prewikka[10177]: File "/usr/local/lib/python2.7/dist-packages/prewikka/pluginmanager.py", line 21, in <module>
juin 02 13:06:49 prewikka[10177]: from prewikka import log, utils, error, database, env, usergroup
juin 02 13:06:49 prewikka[10177]: File "/usr/local/lib/python2.7/dist-packages/prewikka/utils/__init__.py", line 3, in <module>
juin 02 13:06:49 prewikka[10177]: import timeutil
juin 02 13:06:49 prewikka[10177]: File "/usr/local/lib/python2.7/dist-packages/prewikka/utils/timeutil.py", line 1, in <module>
juin 02 13:06:49 prewikka[10177]: from pytz import timezone
juin 02 13:06:49 prewikka[10177]: ImportError: No module named pytz
9 jours plus tard
Tout d'abord que ce tuto est génial et très complet, je n'ai pas trouver d'équivalent, ce qui rendait ces solutions inaccessible pour la plupart des gens. C'est bien beau de faire des Outils aussi développer mais quand y a pas Documentation ou qu'elle est incomplète, seul quelques personnes ayant déjà des connaissance poussés peuvent les utilisés, je trouve ca très con de la part de ceux qui créer et participent à ces projets opensource de ne pas avoir pris cela en compte.

Je trouve cela dommage que vous ayez détaillé une installation des Sondes en localhost pour des Outils qui sont fait pour monitoré un parc de serveurs, le coup es 2 terminal pour l'installation en localhost le montre bien, ce n'est pas fait pour être utiliser comme ceci à la base, l'installation en localhost aurait plutôt dû être expliquer en tant que "Bonus".

Et ne me dites pas que c'est réservé au grandes entreprises de pouvoir se payer 1 VPS ou un dédié a 10 € / mois pour monitoré d'autres VPS ou serveurs dédié et qu'ils savent déjà comment s'y prendre, la preuve moi j'ai n'ai pas de grande entreprise et pourtant j'aurais bien aimais installer tout cela proprement sur 1 serveur dédié pour monitoré mes autres serveurs

Est-ce que quelqu'un pourrait m'aider pour installer les Sondes de Prelude et de OSSEC sur d'autres serveurs ?

PS : Une petite MAJ pour Prelude 3 ne ferais pas de mal, et ajouter les commandes pour RHEL/Centos 7 serait un plus très appréciable car bien que beaucoup de personnes travaillent sur Debian, ce n'est pas le cas de tout le monde, Centos est tout aussi utilisé que Debian, de nombreux sites indiquent les commandes pour les 2 OS dans leurs tutos 🙂
Bonjour,

Je sais que Hardware ne maintient plus à jour ce tuto, mais j'aimerai quand même résoudre mon problème. Voilà en discutant sur le chat, je me suis rappelé ... que j'avais ce système d'installé. Après vérification, les agents ne sont plus synchro depuis 22/10/2015... j'ai essayé de redémarrer les services mais rien n'y fait plus moyen de resynchroniser les sondes :


J'ai tenter d’exécuter manuellement le script qui check les différents composants : 
#usr/local/bin/prelude-check-components
[KO] Prelude Manager n'est pas en service, démarrage imminent...
[ ok ] Starting prelude-manager (via systemctl): prelude-manager.service.
[OK] Prelude LML est actuellement en service
[OK] Prelude Correlator est actuellement en service
[OK] Prewikka est actuellement en service
Mais toujours rien dans l'interface de Prewikka.

Que faire? Puis-je trouver plus d'informations? Merci pour votre aide.
9 jours plus tard
Je me permet un petit up.

La seule information que j'ai en plus, provient d'Ossec :
prelude-lml: WARNING: Failover enabled: connection error with 127.0.0.1:4690: Connection refused
Une idée?
Gravefield wrote:Je me permet un petit up.

La seule information que j'ai en plus, provient d'Ossec :
prelude-lml: WARNING: Failover enabled: connection error with 127.0.0.1:4690: Connection refused
Une idée? :/

iptables ? port 4690 open ?