Pour ce tuto : http://mondedie.fr/d/5821 Si vous avez une question, une remarque ou une suggestion, n'hésitez pas à poster un commentaire sur ce topic.

Super tutoriel !! Merci Hardware maintenant avec Ossec je suis au Sec !!

Super Hardware Merci Dis pour la partie OSSEC Web User Interface tu aurais une idée pour ceux qui sont sous lighttpd ? J'ai essayé de voir sur le net mais après install du dossier /var/www/ossec-wui-0.3 puis script setup.sh je bloque. j'ai aussi le fichier ossec dans /var/www .

moi sur nginx sa marche pas Unable to access ossec directory. sinon ta fait une erreur pour l'installation du web ui de ossec

@boby31 > Regarde ce tutoriel : http://crunchbang.org/forums/d/14232 Il indique comment configurer lighttpd pour OssecWUI.

@Hardware j'ai tenté mais trop chaud pour mon niveau. j'arrivai plus a restart lighttpd. bon du coup je laisse sans webui

j'ai tenter de mettre ossec en sonde sa marche pas je pense qu'il faut installer prelude avant ossec et pour snort je pige rien mdr j'ai fait du gros bordel en plus avec les tuto donc je sais pas faut qu'on voit sa ensemble ^^ Modif de la nuit ba j'ai prelude qui marche plus du tout ^^ comment on le desinstalle ?

wget --header="User-Agent: Mozilla/5.0 (X11; Linux x86_64; rv:10.0) Gecko/20100101 Firefox/31.0" http://www.ossec.net/files/ossec-wui-0.8.tar.gz tar -xzf ossec-wui-0.8.tar.gz Bonsoir, comme on peut le voir sur le site de OSSEC ainsi que le GitHub , il existe une version 0.8 de la WebUI de OSSEC. Le tutoriel ne mentionne pas son existence. Ainsi je m'interroge, il y aurait une raison en particulier ? La version 0.3 serait préférable ? Une simple inconnue ? Autrement, je souhaiterais savoir comment faudrait-il procéder avec OSSEC afin de bannir l'émetteur d'une requête visant l'injection d'url ? Par défaut, OSSEC me semble inactif sur ce point...

Petite erreur de ma part pour le numéro de version, je vais corriger ça de suite Wagner wrote: Autrement, je souhaiterais savoir comment faudrait-il procéder avec OSSEC afin de bannir l'émetteur d'une requête visant l'injection d'url ? Injection d'url, c'est à dire ? Si tu parles des injections SQL et XSS, OSSEC prend en charge nativement ces deux types d'attaques avec les règles suivantes : <rule id="31103" level="6"> <if_sid>31100</if_sid> <url>=select%20|select+|insert%20|%20from%20|%20where%20|union%20|</url> <url>union+|where+|null,null|xp_cmdshell</url> <description>SQL injection attempt.</description> <group>attack,sql_injection,</group> </rule> <rule id="31105" level="6"> <if_sid>31100</if_sid> <url>%3Cscript|%3C%2Fscript|script>|script%3E|SRC=javascript|IMG%20|</url> <url>%20ONLOAD=|INPUT%20|iframe%20</url> <description>XSS (Cross Site Scripting) attempt.</description> <group>attack,</group> </rule> Je viens de faire un essai sur mon site web avec cette URL : /index.php?cat=articles&%20lid=-1%20UNION%20SELECT%200,username,userid,password J'ai été banni en moins de 4 secondes donc ça marche plutôt bien apparement

Ainsi, c'était juste une petite erreur de frappe, merci Hardware. request: "GET http://une.adresse.url 200 Voici un exemple, c'est extrait des logs de Nginx. Il ne s'agit pas d'injection SQL (ou XSS), juste une url (un nom de domaine). Parfois, c'est toujours la même. Avec Fail2Ban, ce type de tentatives ont un code d'erreur (404 etc). Avec OSSEC, c'est toujours le code 200. C'est la cause de cette impression... elle serait à tort ?

Les codes de statut du protocole HTTP sont déterminés uniquement par le serveur web. Si la ressource demandée par le client n'existe pas, le serveur web retourne systèmatiquement le code 404. OSSEC de son côté ne fait qu'analyser les logs du serveur web et prend une décision en fonction des règles contenues dans le répertoire /var/ossec/rules. Si un client génère une multitudes d'erreurs 404 pendant un laps de temps assez court, allors OSSEC bannira l'ip du client de manière temporaire simplement par prévention. Dans le cas d'un code de retour égal à 200 : request: "GET http://une.adresse.url 200..." c'est parfaitement normal qu'ossec ne réagisse pas car la requête a été traité avec succès par le serveur web, il n'y a donc pas d'action à entreprendre.

[Discussion] Sécuriser son serveur avec Ossec et Prelude : Page 16

Ce site est optimisé pour être consulté depuis un navigateur moderne dans lequel JavaScript est activé.

[Discussion] Sécuriser son serveur avec Ossec et Prelude

Diesel

Gravefield wrote:Je me permet un petit up.

La seule information que j'ai en plus, provient d'Ossec :
prelude-lml: WARNING: Failover enabled: connection error with 127.0.0.1:4690: Connection refused
Une idée? :/

iptables ? port 4690 open ?

Gravefield

Lorsque je fais :

# netstat -paunt

Je ne le vois pas dans la liste, ça veut dire que le port n'est pas ouvert?

Cela fais un moment que j'ai pas touché à IpTable, j'ai un peu oublié

J'ai regardé ce site pour avoir la commande : http://www.memoinfo.fr/netstat-lister-ports-ouverts-linux.html

Comment je fais pour l'ouvrir?

iptables -A INPUT -s 127.0.0.1 -p tcp -m tcp --dport 4690 -j ACCEPT

Est-ce que c'est correcte?

xoxopeter

Bonjour à tous,

J'ai encore besoin de votre aide mes amis.
J'ai un petit problème avec le prelude-correlator. Il s'est mis en manquant alors que quand j'ai terminer mon installation il était connecté. La seule manipulation que j'ai fait, a été de mettre la date et l'heure à jour avec ntpdate et depuis il ne se lance plus.
Voici l'erreur en le lançant manuellement :

On me parle de module OpenSSHAuthPlugin. J'ai fouiner dans des dossiers de conf et j'ai vu ce module en commentaire. J'ai testé de modifier en enlevant le commentaire. mettre true, mettre false mais rien n'y fait. Je ne comprend pas pourquoi cela arrive? Si vous pouvez m'aidez sur ce premier point ce serait génial.

Malheureusement, j'ai une deuxième petite question.

Je suis entrain de faire l'installation également de OSSEC mais contrairement au tuto je l'installe sur un serveur à part. De ce fait j'ai quelque problème afin d'ajouter la sonde dans prelude et la faire remonter (afficher) sur prewikka. Etant sur un autre serveur je ne comprend pas de quelle manière je doit faire afin de remonter la sonde.
Voici la démarche que j'ai faites (mais sans succès):
- installation complète sur un même serveur de Prelude Manager, LibPrelude, LibpreludeDB, Prelude-LML, Prelude-Correlator, Prewikka WebUI
- installation ossec et ossec wui sur un deuxième serveur.
- execution de la commande screen sur le 1er serveur (prewikka,prelude..) et ici je tape les deux commande dans les terminaux différents afin d'ajouter la sonde. (sauf que ossec pas reconnu sur ce serveur)

Donc cela ne monte pas la sonde ossec dans l'interface web. Est-ce que quelqu'un aurait une idée également pour cela s'il vous plaît

Bonne fin de journée à tous 😉

cocolabombe0

Je viens de faire l'installation et j'ai eu quelques soucis et des résolutions.

checking for LIBGCRYPT - version >= 1.1.94... no
configure: error:
***
*** libgcrypt was not found. You may want to get it from
*** ftp://ftp.gnupg.org/gcrypt/libgcrypt/
***

J'ai fais l'installation de libgcrypt (trouvé la réponse sur cette discussion

apt-get install libgcrypt20-dev

Pour mysql, j'ai installé mariaDB

apt install php7.0 php7.0-fpm php7.0-gd php7.0-mcrypt php7.0-mysql php7.0-json
apt-get install software-properties-common
apt-key adv --recv-keys --keyserver keyserver.ubuntu.com 0xcbcb082a1bb943db
add-apt-repository 'deb [arch=amd64,i386] http://fr.mirror.babylon.network/mariadb/repo/10.1/debian jessie main'
apt-get update
apt-get install mariadb-server

Cela à fonctionner facilement

Je voudrais savoir si on peut vérifier que correlator a bien fonctionné?

---------------------------------------------------------------------------
This script requires setuptools version 0.6c11 to run (even to display
help).  I will attempt to download it for you (from
http://pypi.python.org/packages/2.7/s/setuptools/), but
you may need to enable firewall access for this script first.
I will start the download in 15 seconds.

(Note: if this machine does not have network access, please obtain the file

   http://pypi.python.org/packages/2.7/s/setuptools/setuptools-0.6c11-py2.7.egg

and place it in this directory before rerunning this script.)
---------------------------------------------------------------------------
Downloading http://pypi.python.org/packages/2.7/s/setuptools/setuptools-0.6c11-py2.7.egg
/usr/lib/python2.7/distutils/dist.py:267: UserWarning: Unknown distribution option: 'entry_points'
  warnings.warn(msg)
/usr/lib/python2.7/distutils/dist.py:267: UserWarning: Unknown distribution option: 'zip_safe'
  warnings.warn(msg)
running install
creating //etc/prelude-correlator
copying prelude-correlator.conf -> //etc/prelude-correlator
creating //var/lib/prelude-correlator
copying PreludeCorrelator/plugins/dshield.dat -> //var/lib/prelude-correlator
copying PreludeCorrelator/plugins/spamhaus_drop.dat -> //var/lib/prelude-correlator
running build
running build_py
creating build
creating build/lib.linux-x86_64-2.7
creating build/lib.linux-x86_64-2.7/PreludeCorrelator
copying PreludeCorrelator/siteconfig.py -> build/lib.linux-x86_64-2.7/PreludeCorrelator
copying PreludeCorrelator/idmef.py -> build/lib.linux-x86_64-2.7/PreludeCorrelator
copying PreludeCorrelator/utils.py -> build/lib.linux-x86_64-2.7/PreludeCorrelator
copying PreludeCorrelator/context.py -> build/lib.linux-x86_64-2.7/PreludeCorrelator
copying PreludeCorrelator/main.py -> build/lib.linux-x86_64-2.7/PreludeCorrelator
copying PreludeCorrelator/__init__.py -> build/lib.linux-x86_64-2.7/PreludeCorrelator
copying PreludeCorrelator/pluginmanager.py -> build/lib.linux-x86_64-2.7/PreludeCorrelator
copying PreludeCorrelator/require.py -> build/lib.linux-x86_64-2.7/PreludeCorrelator
copying PreludeCorrelator/config.py -> build/lib.linux-x86_64-2.7/PreludeCorrelator
copying PreludeCorrelator/log.py -> build/lib.linux-x86_64-2.7/PreludeCorrelator
creating build/lib.linux-x86_64-2.7/PreludeCorrelator/plugins
copying PreludeCorrelator/plugins/spamhausdrop.py -> build/lib.linux-x86_64-2.7/PreludeCorrelator/plugins
copying PreludeCorrelator/plugins/businesshour.py -> build/lib.linux-x86_64-2.7/PreludeCorrelator/plugins
copying PreludeCorrelator/plugins/worm.py -> build/lib.linux-x86_64-2.7/PreludeCorrelator/plugins
copying PreludeCorrelator/plugins/__init__.py -> build/lib.linux-x86_64-2.7/PreludeCorrelator/plugins
copying PreludeCorrelator/plugins/dshield.py -> build/lib.linux-x86_64-2.7/PreludeCorrelator/plugins
copying PreludeCorrelator/plugins/firewall.py -> build/lib.linux-x86_64-2.7/PreludeCorrelator/plugins
copying PreludeCorrelator/plugins/bruteforce.py -> build/lib.linux-x86_64-2.7/PreludeCorrelator/plugins
copying PreludeCorrelator/plugins/opensshauth.py -> build/lib.linux-x86_64-2.7/PreludeCorrelator/plugins
copying PreludeCorrelator/plugins/scan.py -> build/lib.linux-x86_64-2.7/PreludeCorrelator/plugins
running install_lib
creating /usr/local/lib/python2.7/dist-packages/PreludeCorrelator
copying build/lib.linux-x86_64-2.7/PreludeCorrelator/siteconfig.py -> /usr/local/lib/python2.7/dist-packages/PreludeCorrelator
copying build/lib.linux-x86_64-2.7/PreludeCorrelator/idmef.py -> /usr/local/lib/python2.7/dist-packages/PreludeCorrelator
copying build/lib.linux-x86_64-2.7/PreludeCorrelator/utils.py -> /usr/local/lib/python2.7/dist-packages/PreludeCorrelator
copying build/lib.linux-x86_64-2.7/PreludeCorrelator/context.py -> /usr/local/lib/python2.7/dist-packages/PreludeCorrelator
copying build/lib.linux-x86_64-2.7/PreludeCorrelator/main.py -> /usr/local/lib/python2.7/dist-packages/PreludeCorrelator
copying build/lib.linux-x86_64-2.7/PreludeCorrelator/__init__.py -> /usr/local/lib/python2.7/dist-packages/PreludeCorrelator
copying build/lib.linux-x86_64-2.7/PreludeCorrelator/pluginmanager.py -> /usr/local/lib/python2.7/dist-packages/PreludeCorrelator
copying build/lib.linux-x86_64-2.7/PreludeCorrelator/require.py -> /usr/local/lib/python2.7/dist-packages/PreludeCorrelator
creating /usr/local/lib/python2.7/dist-packages/PreludeCorrelator/plugins
copying build/lib.linux-x86_64-2.7/PreludeCorrelator/plugins/spamhausdrop.py -> /usr/local/lib/python2.7/dist-packages/PreludeCorrelator/plugins
copying build/lib.linux-x86_64-2.7/PreludeCorrelator/plugins/businesshour.py -> /usr/local/lib/python2.7/dist-packages/PreludeCorrelator/plugins
copying build/lib.linux-x86_64-2.7/PreludeCorrelator/plugins/worm.py -> /usr/local/lib/python2.7/dist-packages/PreludeCorrelator/plugins
copying build/lib.linux-x86_64-2.7/PreludeCorrelator/plugins/__init__.py -> /usr/local/lib/python2.7/dist-packages/PreludeCorrelator/plugins
copying build/lib.linux-x86_64-2.7/PreludeCorrelator/plugins/dshield.py -> /usr/local/lib/python2.7/dist-packages/PreludeCorrelator/plugins
copying build/lib.linux-x86_64-2.7/PreludeCorrelator/plugins/firewall.py -> /usr/local/lib/python2.7/dist-packages/PreludeCorrelator/plugins
copying build/lib.linux-x86_64-2.7/PreludeCorrelator/plugins/bruteforce.py -> /usr/local/lib/python2.7/dist-packages/PreludeCorrelator/plugins
copying build/lib.linux-x86_64-2.7/PreludeCorrelator/plugins/opensshauth.py -> /usr/local/lib/python2.7/dist-packages/PreludeCorrelator/plugins
copying build/lib.linux-x86_64-2.7/PreludeCorrelator/plugins/scan.py -> /usr/local/lib/python2.7/dist-packages/PreludeCorrelator/plugins
copying build/lib.linux-x86_64-2.7/PreludeCorrelator/config.py -> /usr/local/lib/python2.7/dist-packages/PreludeCorrelator
copying build/lib.linux-x86_64-2.7/PreludeCorrelator/log.py -> /usr/local/lib/python2.7/dist-packages/PreludeCorrelator
byte-compiling /usr/local/lib/python2.7/dist-packages/PreludeCorrelator/siteconfig.py to siteconfig.pyc
byte-compiling /usr/local/lib/python2.7/dist-packages/PreludeCorrelator/idmef.py to idmef.pyc
byte-compiling /usr/local/lib/python2.7/dist-packages/PreludeCorrelator/utils.py to utils.pyc
byte-compiling /usr/local/lib/python2.7/dist-packages/PreludeCorrelator/context.py to context.pyc
byte-compiling /usr/local/lib/python2.7/dist-packages/PreludeCorrelator/main.py to main.pyc
byte-compiling /usr/local/lib/python2.7/dist-packages/PreludeCorrelator/__init__.py to __init__.pyc
byte-compiling /usr/local/lib/python2.7/dist-packages/PreludeCorrelator/pluginmanager.py to pluginmanager.pyc
byte-compiling /usr/local/lib/python2.7/dist-packages/PreludeCorrelator/require.py to require.pyc
byte-compiling /usr/local/lib/python2.7/dist-packages/PreludeCorrelator/plugins/spamhausdrop.py to spamhausdrop.pyc
byte-compiling /usr/local/lib/python2.7/dist-packages/PreludeCorrelator/plugins/businesshour.py to businesshour.pyc
byte-compiling /usr/local/lib/python2.7/dist-packages/PreludeCorrelator/plugins/worm.py to worm.pyc
byte-compiling /usr/local/lib/python2.7/dist-packages/PreludeCorrelator/plugins/__init__.py to __init__.pyc
byte-compiling /usr/local/lib/python2.7/dist-packages/PreludeCorrelator/plugins/dshield.py to dshield.pyc
byte-compiling /usr/local/lib/python2.7/dist-packages/PreludeCorrelator/plugins/firewall.py to firewall.pyc
byte-compiling /usr/local/lib/python2.7/dist-packages/PreludeCorrelator/plugins/bruteforce.py to bruteforce.pyc
byte-compiling /usr/local/lib/python2.7/dist-packages/PreludeCorrelator/plugins/opensshauth.py to opensshauth.pyc
byte-compiling /usr/local/lib/python2.7/dist-packages/PreludeCorrelator/plugins/scan.py to scan.pyc
byte-compiling /usr/local/lib/python2.7/dist-packages/PreludeCorrelator/config.py to config.pyc
byte-compiling /usr/local/lib/python2.7/dist-packages/PreludeCorrelator/log.py to log.pyc
running install_egg_info
Writing /usr/local/lib/python2.7/dist-packages/prelude_correlator-1.2.5.egg-info
running install_scripts
running build_scripts
error: cannot copy tree 'build/scripts-2.7': not a directory

J'ai refait la même commande et je n'ai pas eu d'erreur

python2.7 setup.py install --record correlator_files.txt
running install
copying prelude-correlator.conf -> //etc/prelude-correlator/prelude-correlator.conf-dist
running build
running build_py
copying PreludeCorrelator/siteconfig.py -> build/lib.linux-x86_64-2.7/PreludeCorrelator
running install_lib
copying build/lib.linux-x86_64-2.7/PreludeCorrelator/siteconfig.py -> /usr/local/lib/python2.7/dist-packages/PreludeCorrelator
byte-compiling /usr/local/lib/python2.7/dist-packages/PreludeCorrelator/siteconfig.py to siteconfig.pyc
running install_egg_info
running egg_info
writing prelude_correlator.egg-info/PKG-INFO
writing top-level names to prelude_correlator.egg-info/top_level.txt
writing dependency_links to prelude_correlator.egg-info/dependency_links.txt
writing entry points to prelude_correlator.egg-info/entry_points.txt
reading manifest file 'prelude_correlator.egg-info/SOURCES.txt'
writing manifest file 'prelude_correlator.egg-info/SOURCES.txt'
Copying prelude_correlator.egg-info to /usr/local/lib/python2.7/dist-packages/prelude_correlator-1.2.5-py2.7.egg-info
running install_scripts
Installing prelude-correlator script to /usr/local/bin
writing list of installed files to 'correlator_files.txt'

Et pour finir avec :

service prewikka start
Failed to start prewikka.service: Unit prewikka.service failed to load: No such file or directory.

edit:

systemctl enable prewikka.service

Et après j'ai pu faire un

service prewikka start

Avec putty, je dois faire screen puis ctrl+a Maj+s pour scinder l'écran en deux.
Puis ctrl+a tab
Puis ctrl+a c pour ouvrir une autre session.

Mais cela ne fonctionne pas pour la suite du tutoriel.

Ensuite entrez le mot de passe unique généré par l'utilitaire d'installation

J'ai essayer le mot de passe entre guillemet mais cela ne marche pas.
edit: c'est bon, j'ai réussi en modifier localhost par l'ip du serveur.
Nicolas.

cocolabombe0

J'ai maintenant juste un problème avec la fin du tutoriel de Prelude

service prelude-correlator start

Job for prelude-correlator.service failed. See 'systemctl status prelude-correlator.service' and 'jour                              nalctl -xn' for details.
prelude-correlator.service - LSB: Correlation engine for Prelude IDS
   Loaded: loaded (/etc/init.d/prelude-correlator)
   Active: failed (Result: exit-code) since Sat 2016-07-23 00:43:53 CEST; 7s ago
  Process: 7828 ExecStart=/etc/init.d/prelude-correlator start (code=exited, status=1/FAILURE)

Jul 23 00:43:52 xxx prelude-correlator[7828]: load_entry_point('prelude-correlator==1.2.5', 'console_scripts', 'prelu...r')()
Jul 23 00:43:52 xxx prelude-correlator[7828]: File "/usr/lib/python2.7/dist-packages/pkg_resources.py", line 356, in ...point
Jul 23 00:43:52 xxx prelude-correlator[7828]: return get_distribution(dist).load_entry_point(group, name)
Jul 23 00:43:52 xxx prelude-correlator[7828]: File "/usr/lib/python2.7/dist-packages/pkg_resources.py", line 2475, in...point
Jul 23 00:43:52 xxx prelude-correlator[7828]: raise ImportError("Entry point %r not found" % ((group, name),))
Jul 23 00:43:52 xxx prelude-correlator[7828]: ImportError: Entry point ('console_scripts', 'prelude-correlator') not found
Jul 23 00:43:53 xxx prelude-correlator[7828]: failed!
Jul 23 00:43:53 xxx systemd[1]: prelude-correlator.service: control process exited, code=exited status=1
Jul 23 00:43:53 xxx systemd[1]: Failed to start LSB: Correlation engine for Prelude IDS.
Jul 23 00:43:53 xxx systemd[1]: Unit prelude-correlator.service entered failed state.
Hint: Some lines were ellipsized, use -l to show in full.

J'ai refait encore l'étape de preledu correlator et tout à refonctionner. La sonde est bien affiché.

Mon dernier problème est le web UI avec un

Unable to access ossec directory.

J'ai mis un openbase_dir et un reboot et ça a fonctionné.
rutorrent fonctionnait mal donc j'ai viré le openbase_dir et il refonctionne bien

cocolabombe0

J'ai un dernier problème. Je dois avoir un script qui ne fonctionne pas car je dois toujours à chaque reboot (par exemple) relancer les services pour que cela fonctionne.
Quand je suis sur le Web UI, j'ai un message d'erreur me disant qu'il ne peut pas se connecter à la base de donnée.
Donc un

service prewikka restart

et je peux de nouveaux me connecté.
Ensuite, dans les Agents, ils ne sont pas connecté donc je dois refaire en ssh

service prelude-manager restart
service prelude-lml restart
service prelude-correlator restart

Et tous mes agents sont revenu.

Savez-vous quel script ne fonctionne pas chez moi?

cocolabombe0

Pas de réponse depuis?

Je viens d'avoir un propre ban à cause d'un problème avec rutorrent.
J'ai eu une erreur et donc il fait un rechargement automatiquement et donc plusieurs erreur 400.

Multiple web server 400 error codes from same source ip.	medium	succeeded	other	Multiple web server 400 error codes from same source ip.

Full Log	ip - - [12/Aug/2016:23:00:18 +0200] "POST /plugins/rss/action.php HTTP/1.1" 401 590 "https://rutorrent.ndd.fr/" "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/xxx.xx (KHTML, like Gecko) Chrome/xx.x.xx.xx Safari/xxx.xxx"

Est ce qu'il y a un endroit ou on peut rentrer les ip qui ne seront jamais ban? (comme fail2ban)?
J'ai été obligé de mettre mon tel en partage wifi pour pouvoir me connecter en ssh et supprimer mon ip avec unban ip présent dans la fin du tuto de sécurité v3.

Aerya

sudo nano /etc/fail2ban/jail.conf

=> ignore IP

cocolabombe0

Il est pourtant déjà dans mon jail fail2ban.

Diesel

Est ce qu'il y a un endroit ou on peut rentrer les ip qui ne seront jamais ban? (comme fail2ban)?
J'ai été obligé de mettre mon tel en partage wifi pour pouvoir me connecter en ssh et supprimer mon ip avec unban ip présent dans la fin du tuto de sécurité v3.

dans le fichier de config d'ossec tu as le block whitelist

https://github.com/ossec/ossec-docs/blob/master/docs/manual/notes/white_list.rst

Cordialement

marmotte5520

bonjour tous.
alors je me suis arreter apres les agent et les sondes tout est nikel sauf que j ai rien dans l'onglet agent sur prewikka

root@ns366367:/etc/init.d# service prelude-manager      start
[....] Starting prelude-manager : prelude-manager13 Aug 21:48:09 (process:21281) INFO: Subscribing Normalize to active decoding plugins.
. ok
root@ns366367:/etc/init.d# service prelude-lml          start
Starting Prelude LML: prelude-lml.
.
root@ns366367:/etc/init.d# service prelude-correlator   start
[ ok ] Starting prelude-correlator : prelude-correlator apparently already running.
root@ns366367:/etc/init.d# service prewikka             restart
Arrêt de Prewikka... [OK]
Démarrage de Prewikka... [OK]
root@ns366367:/etc/init.d# prelude-admin list -l
Profile            UID  GID  AnalyzerID       Permission       Issuer AnalyzerID
--------------------------------------------------------------------------------
prelude-lml        root root 1282976921907015 idmef:rw admin:r 2842045755387227
prelude-correlator root root 518820635569596  idmef:rw admin:r 2842045755387227
prelude-manager    root root 2842045755387227 n/a              n/a
root@ns366367:/etc/init.d#

merci

totol

Votre prelude-manager est-il bien configuré pour insérer les alertes dans la base de données ?
Votre prewikka est-il bien configuré pour lire les alertes idmef depuis la base de données ?

hitjacker

Salut !

Ton erreur doit venir du fait que tu n'as pas configurer la bdd pour le manager.

Il faut modifier /usr/local/etc/prelude-manager/prelude-manager.conf et faire les modifs :

[db]
type = mysql
host = localhost
name = prelude
user = prelude
pass = prelude

Pour ma part, je vois bien les modules sous prewikka mais aucune alerte, et rien dans les logs. Sa doit être une mauvaise config, mais comment savoir si ça vient de prelude-lml ou prelude-correlator ?

cocolabombe0

Bonjour, j'ai un nouveau problème.
Cela fait un moment que j'ai pas regardé et quand je me connecte, je ne vois pas mes agents s'il sont actif.

/usr/local/bin/prelude-check-components

[KO] Prelude Manager n'est pas en service, démarrage imminent...
[ ok ] Starting prelude-manager (via systemctl): prelude-manager.service.
[OK] Prelude LML est actuellement en service
[OK] Prelude Correlator est actuellement en service
[OK] Prewikka est actuellement en service

J'ai toujours le KO même si je lance la commande manuelle

/etc/init.d/prelude-manager start

[ ok ] Starting prelude-manager (via systemctl): prelude-manager.service.

zorrax

bonjour
comment faire une desinstallation propre de prelude et Prewikka et Ossec..??
je voudrais repartir sur une base saine sans reinstall de debian
merci

Ph-processor

bonjour a tous merci pour ce tutorel mais mon DM m'a demander d'installer prelude ids et j'ai trouvé ce tutorel correct mais je me suis confontré a des difficutés au debut je ne sais pas si quelqu'un peu m'aider

MattProd

Hummm, tuto de 2014, last edit en 2015... Je pense qu'il y'a beaucoup à adapter...
Pose toujours ta question @Ph-processor

Matt

Ph-processor

bonjour voici mon probleme

● prelude-lml.service - Log analyzer sensor with IDMEF output
   Loaded: loaded (/usr/lib/systemd/system/prelude-lml.service; disabled; vendor preset: disabled)
   Active: failed (Result: exit-code) since Fri 2020-04-10 14:36:36 WAT; 19s ago
  Process: 7180 ExecStart=/usr/sbin/prelude-lml (code=exited, status=255/EXCEPTION)
 Main PID: 7180 (code=exited, status=255/EXCEPTION)
      CPU: 858ms

avril 10 14:36:36 localhost.localdomain prelude-lml[7180]: 10 Apr 14:36:36 (process:7180) WARNING: /v>
avril 10 14:36:36 localhost.localdomain prelude-lml[7180]: 10 Apr 14:36:36 (process:7180) WARNING: /v>
avril 10 14:36:36 localhost.localdomain prelude-lml[7180]: 10 Apr 14:36:36 (process:7180) WARNING: /v>
avril 10 14:36:36 localhost.localdomain prelude-lml[7180]: 10 Apr 14:36:36 (process:7180) WARNING: /v>
avril 10 14:36:36 localhost.localdomain prelude-lml[7180]: 10 Apr 14:36:36 (process:7180) WARNING: No>
avril 10 14:36:36 localhost.localdomain prelude-lml[7180]: 10 Apr 14:36:36 (process:7180) INFO: PCRE >
avril 10 14:36:36 localhost.localdomain prelude-lml[7180]: 10 Apr 14:36:36 (process:7180) INFO: Conne>
avril 10 14:36:36 localhost.localdomain prelude-lml[7180]: 10 Apr 14:36:36 (process:7180) INFO: TLS a>
avril 10 14:36:36 localhost.localdomain systemd[1]: prelude-lml.service: Main process exited, code=ex>
avril 10 14:36:36 localhost.localdomain systemd[1]: prelude-lml.service: Failed with result 'exit-cod>

« Page précédente