• Author:

Ossec: configurazione base

Come descritto in un articolo precedente ossec è un’ottimo strumento per avere sotto controllo tutte le attività anomale che avvengono sul nostro server, per far si che il software svolga correttamente il suo compito è necessario configurarlo in modo corretto.

Guida alla configurazione:

Ossec, almeno nella sua installazione di default suddivide i propri file nel seguente modo:

  • /var/ossec/bin  -> directory contenente i file binari usati da OSSEC HID
  • /var/ossec/etc  -> directory contenente i file di configurazione
    • ossec.conf -> il file di configurazione principale di OSSEC HID
    • internal_options.conf -> un file con configurazioni addizionali
    • decoders.xml -> un file contenente i decoders per normalizzare i log
    • client.keys -> un file contenente le chiavi di autenticazione usate nelle comunicazioni server-agente
  • /var/ossec/logs  -> directory contenente tutti i log del programma
    • ossec.log -> log principali del programma (error, warn, info, e così via)
    • alerts/alerts.log -> gli alert logs
    • active-responses.log -> log del componente active-response
  • /var/ossec/queue -> directory contenente le code dei file
    • agent-info -> directory contenente informazioni specifiche sugli agenti
    • syscheck -> directory contente i dati sul controllo di integrità del file system con i log suddivisi per agente
    • rootcheck -> directory contente la informazioni sui rootkit e i dati relativi alle politiche di monitoraggio per ciascun agente
    • rids -> directory contenente gli ID dei messaggi degli agenti
    • fts -> file contenente il first time seen.
  • /var/ossec/rules -> directory contenente tutte le regole
  • /var/ossec/stats -> directory contenente varie statistiche sul programma

Il principale file di configurazione è ossec.conf , tutti i file di configurazione sono scritti in XML, all’interno del file principale troviamo la il tag <ossec_config> </ossec_config> le opzioni di configurazione sono suddivise in una serie di sottoelementi.

Il programma gestisce gli alert secondo 15 livelli di gravità (1 il più basso, 15 il più alto) per default viene generato un log per tutti i livelli di alert mentre vengono inviate le mail di avviso solo per alert di livello superiore al 7. Con questo esempio di configurazione è possibile cambiare come vengono gestiti gli alert:

<alerts>
     <log_alert_level>2</log_alert_level>
     <email_alert_level>8</email_alert_level>
</alerts>

 

come si può vedere è stato impostato di salvare i log solamente per gli alert superiori al livello 2 e inviare mail solamente per quelli superiori al livello 8. Invece ad esempio per alcune particolari applicazioni può essere necessario avere log per qualsiasi evento e quindi è necessario inserire la seguente configurazione:

<global>
     <logall>yes</logall>
</global>

 

Occorre però ricordarsi che dire al programmi di creare un log aumenta il numero di file .log che vengono creati e quindi anche lo spazio che viene usato sul disco

link alla guida ufficiale