[Topic unique] Sécuriser son serveur avec Prelude-IDS et Ossec

[laster13]

Un grand MERCI à Hardware, modérateur du forum mondedie. Son tuto DEBIAN m'a servi de support pour l'adaptation et l'installation de prelude sur Nas4free. Je me suis d'ailleurs très largement inspiré de sa littérature pour rédiger ce tuto. Par contre énormément d'investissement personnel notamment parce que rien n'avait (jusqu'à présent) été écris pour freebsd. Je remercie également l'un des responsable du projet Antoine LUONG qui m'a permis de débloquer des situations qui par moment me semblaient insolubles

Prelude est un logiciel SIEM qui permet de superviser la sécurité des systèmes informatiques. Prelude collecte, trie, corrèle et affiche tous les événements de sécurité indépendamment des types d'équipements ou système surveillés. OSSEC quand à lui va traiter les intrusions en bloquant les IP qui lui sembleront suspectes. Ce sont les journaux systèmes qui serviront de support pour piéger les intrus qui oseraient s'en prendre à votre serveur .

Au-delà de sa capacité de traitement de tout type de journaux d’événements (journaux système, syslog, fichiers de configuration...etc), Prelude est nativement compatible avec de nombreuses sondes anti-intrusion open-source (snort, ossec... etc) grâce à l'utilisation du format IDMEF.

Ossec est un HIDS (Host-based Intrusion Detection System), son rôle est de détecter une intrusion en temps réel au sein d'un système informatique en s'appuyant sur différentes techniques comme l'analyse des logs, la vérification d'intégrité des fichiers système et des fichiers de configuration, en détectant les rootkits...etc.
C'est aussi un IPS (Intrusion Prevention System), il peut ainsi détecter les robots/scripts qui scannent les ports du serveur, les attaques de type Brute Force sur des services comme SSH, FTP, Nginx, Apache, Postfix...etc Il analyse aussi automatiquement toutes les requêtes HTTP(s) (POST/GET/PUT/DELETE) pour repérer l'exploitation de faille XSS, SQL en les comparant avec des patterns d'attaques connues.

Les adresses IP suspectes sont identifiées et bloquées automatiquement par "active response" et "firewall drop". Ossec ne fait pas dans la douceur

La suite ici

[lulu80]

bonsoir ,
Combien de temps faut il prévoir pour l'installe ?

[lulu80]

a la première opération j'obtient cela
*** Dumping configuration ***
- Generate documentation : no
- LUA binding : no
- Perl binding : no
- Python2.x binding : yes
- Python3.x binding : no
- Ruby binding : no
- Easy bindings : yes
root@prelude:/tmp/libprelude-1.2.6 #

ensuite sa demande d'exécuter les commandes suivantes
cela en fait parti ? >>> gsed -i '1i\#include <cstddef>' /tmp/libprelude-1.2.6/bindings/python/_prelude.cxx

[laster13]

Oui faut le taper

[lulu80]

root@prelude:/tmp/libprelude-1.2.6 # gsed -i '1i\#include <cstddef>' /tmp/libprelude-1.2.6/bindings/python/_prelude.cxx
root@prelude:/tmp/libprelude-1.2.6 # make
"Makefile", line 2045: Need an operator
make: fatal errors encountered -- cannot continue
root@prelude:/tmp/libprelude-1.2.6 # make install
"Makefile", line 2045: Need an operator
make: fatal errors encountered -- cannot continue
root@prelude:/tmp/libprelude-1.2.6 #

[lulu80]

je suis en version 9.3.0.2 - Nayla (revision 1771) ? peut être pour cela que sa fonctionne pas ?
faut il installer les ports ?

[laster13]

Je l ai testé sur une 9.3 et je n'avais pas de soucis. Essaie d'installer gcc49

Code: Select all

pkg install gcc49

Ensuite :

Code: Select all

cd /usr/local/bin
ln -s gcc49 gcc
ln -s g++49 g++

Et retente

[lulu80]

Je l ai testé sur une 9.3 et je n'avais pas de soucis

lol ici c'est la maison qui rend fou

[lulu80]

niet cela fonctionne pas


*** Dumping configuration ***
- Generate documentation : no
- LUA binding : no
- Perl binding : no
- Python2.x binding : yes
- Python3.x binding : no
- Ruby binding : no
- Easy bindings : yes
root@prelude:/tmp/libprelude-1.2.6 # gsed -i '1i\#include <cstddef>' /tmp/libprelude-1.2.6/bindings/python/_prelude.cxx
root@prelude:/tmp/libprelude-1.2.6 # make
"Makefile", line 2045: Need an operator
make: fatal errors encountered -- cannot continue
root@prelude:/tmp/libprelude-1.2.6 # make install
"Makefile", line 2045: Need an operator
make: fatal errors encountered -- cannot continue
root@prelude:/tmp/libprelude-1.2.6 #

[lulu80]

bon je tue la jail et je recommencerait plus tard

[laster13]

Effectivement sur la version 9.3 l'utilitaire de compilation est "gmake" et non "make" donc remplacer :

"make" par "gmake"

et

"make install" par "gmake install"

Si gmake n'est pas installé par défaut (je ne m'en souviens plus ) alors

Code: Select all

pkg install gmake

[lulu80]

bonjour ,
je recommence a zéro je test et te dit quoi

[lulu80]

bon j'obtient ceci qui et différent de se que tu affiche dans le TuTo ? peut tu m'expliquer si cela et normal

*** Dumping configuration ***
- Generate documentation : no
- LUA binding : no
- Perl binding : no
- Python2.x binding : yes
- Python3.x binding : no
- Ruby binding : no
- Easy bindings : yes
root@prelude:/tmp/libprelude-1.2.6 #

[laster13]

Oui c'est bon tu peux poursuivre avec gmake

[lulu80]

Oui c'est bon tu peux poursuivre avec gmake

bon j'ai du installer "pkg install gmake" j'avais une commande "No found".... ensuite j'ai fait "gmake" puis "gmake install"
et la quel que chose c'est installer genre


/usr/bin/install -c ./libprelude-config '/usr/local/bin'
/usr/bin/install -c -d -m 711 /usr/local/var/spool/prelude;
/usr/bin/install -c -d -m 755 /usr/local/etc/prelude;
/usr/bin/install -c -d -m 755 /usr/local/etc/prelude/default;
/usr/bin/install -c -d -m 711 /usr/local/etc/prelude/profile;
test -z "/usr/local/include/libprelude" || ./install-sh -c -d "/usr/local/include/libprelude"
/usr/bin/install -c -m 644 prelude-config.h '/usr/local/include/libprelude'
gmake[3]: Leaving directory '/tmp/libprelude-1.2.6'
gmake[2]: Leaving directory '/tmp/libprelude-1.2.6'
gmake[1]: Leaving directory '/tmp/libprelude-1.2.6'
root@prelude:/tmp/libprelude-1.2.6 #
dit moi si tu reconnait ?

[laster13]

De mémoire cela me semble correct, tu peux poursuivre

[lulu80]

je vient de passer la partie mot de passe MySQL .... j'ai était retarder par la pause café

[lulu80]

je bloc ici

root@prelude:/tmp/libpreludedb-1.2.6 # mysql -u prelude prelude -p < /usr/local/share/libpreludedb/classic/mysql.sql
Enter password:
ERROR 1045 (28000): Access denied for user 'prelude'@'localhost' (using password: YES)
root@prelude:/tmp/libpreludedb-1.2.6 #

[laster13]

Normalement lorsque tu as créé la base de donnée prelude tu as fourni un mot de passe

mysql> CREATE USER 'prelude'@'localhost' IDENTIFIED BY 'MOT DE PASSE';

C'est ce mot de passe que tu dois rentrer

[lulu80]

je suis a cette parti la ci dessous ok ? le mot de passe a très bien fonctionner ensuite j'arrive a exit "ok"
puis je rentre la commande en dessous de exit "mysql -u prelude prelude -p < /usr/local/share/libpreludedb/classic/mysql.sql"
et la sa me demande un mot de passe ...je rentre le mot passe (le même que précédemment) et il en veut pas

mysql> exit

# Création des tables
CODE: SELECT ALL
mysql -u prelude prelude -p < /usr/local/share/libpreludedb/classic/mysql.sql

[lulu80]

pour "Création des tables" faut être dans Mysql ?

[lulu80]

bon cette partie la sa fonctionne pas j'arrive pas a crée un mots passe (je comprend pas)

mysql> CREATE USER 'prelude'@'localhost' IDENTIFIED BY 'MOT DE PASSE';
mysql> GRANT USAGE ON *.* TO 'prelude'@'localhost';
mysql> GRANT ALL PRIVILEGES ON prelude.* TO 'prelude'@'localhost';

la faut m'expliquer je doit pas faire se qu'il faut ?

[laster13]

Je pense que tu as du te tromper à un moment donné, le mieux est d'effacer la base de donnée prelude et de la refaire
Tu procèdes ainsi :

Code: Select all

root@prelude:/ # mysql -u root -p
Enter password:

Là tu rentres le mot de passe que tu as choisis lorsque tu as configuré mysql, ensuite à l'invite "mysql>" , tu entres la commande suivante pour lister les bases de données

Code: Select all

SHOW DATABASES;

Et là tu va voir la BBD prelude, pour l'effacer on fait :

Code: Select all

DROP DATABASE prelude;

Ensuite tu recrés la base de donnée "prelude" en suivant le tuto et en choississant un mot de passe, le mieux etant pour te le rappeller de choisr le meme que celui que tu avais pris pour configurer mysql, comme ca pas d'erreur possible

[lulu80]

ok je l'ai effacé

la je suis la
mysql> CREATE USER 'prelude'@'localhost' IDENTIFIED BY 'MOT DE PASSE';
mysql> GRANT USAGE ON *.* TO 'prelude'@'localhost';
mysql> GRANT ALL PRIVILEGES ON prelude.* TO 'prelude'@'localhost';


si je comprend bien c'est
CREATE USER 'prelude'@'localhost' IDENTIFIED BY 'mon mot de passe xxxx ?';
GRANT USAGE ON *.* TO 'prelude'@'localhost';
GRANT ALL PRIVILEGES ON prelude.* TO 'prelude'@'localhost';

[lulu80]

ou bien il faut remplacer "localhos" par l'ip de la jail ?

[lulu80]

j'obtient cela

root@prelude:/ # mysql -u root -p
Enter password:
Welcome to the MySQL monitor. Commands end with ; or \g.
Your MySQL connection id is 25
Server version: 5.6.26 Source distribution

Copyright (c) 2000, 2015, Oracle and/or its affiliates. All rights reserved.

Oracle is a registered trademark of Oracle Corporation and/or its
affiliates. Other names may be trademarks of their respective
owners.

Type 'help;' or '\h' for help. Type '\c' to clear the current input statement.

mysql> SHOW DATABASES;
+--------------------+
| Database |
+--------------------+
| information_schema |
| mysql |
| performance_schema |
+--------------------+
3 rows in set (0.02 sec)

mysql> DROP DATABASE prelude;
ERROR 1008 (HY000): Can't drop database 'prelude'; database doesn't exist
mysql>

[lulu80]

pouf compliquer ce passage

[laster13]

Quand tu tapes

Code: Select all

SHOW DATABASES;

On voit bien que la base de donnée prelude n'existe pas donc il te faut la créer maintenant et oui pour le mot de passe dont tu me parles plus haut, c'est le tien qu'il te faut mettre

[lulu80]

voila se que j'ai fait
root@prelude:/ # mysql -u root -p
Enter password:
Welcome to the MySQL monitor. Commands end with ; or \g.
Your MySQL connection id is 29
Server version: 5.6.26 Source distribution

Copyright (c) 2000, 2015, Oracle and/or its affiliates. All rights reserved.

Oracle is a registered trademark of Oracle Corporation and/or its
affiliates. Other names may be trademarks of their respective
owners.

Type 'help;' or '\h' for help. Type '\c' to clear the current input statement.

mysql> CREATE database prelude;
Query OK, 1 row affected (0.01 sec)

mysql> CREATE USER 'prelude'@'localhost' IDENTIFIED BY 'xxxxxx';
ERROR 1396 (HY000): Operation CREATE USER failed for 'prelude'@'localhost'
mysql>

[laster13]

Essaye

Code: Select all

mysql -u root -p
DROP USER prelude;

Et recommence. En fait on a effacer la base mais pas l'utilisateur et c'est pour cela que tu peux pas le recreer
Bon exercice sur les bases de données