14/06/2019

Installation et
Configurationd’ossec

Présenté par :

 DIALLO Mariama
 DIALLO Mouhamed Lamine
 Sommaire

I. Installation coté serveur

II. Installation coté client(agent)
III. Ajout des agents au niveau et
importation des clés vers les agents

1
I. Installation coté serveur
 Installation des dépendances OSSEC

OSSEC nécessite PHP, gcc, libc et Apache Web Server. Installez-les en

lançant les commandes ci-dessous :
sudo apt install -y wget unzip make gcc build-essential
sudo apt install -y php php-cli php-common libapache2-mod-php apache2-utils
sendmail inotify-tools

 Téléchargement d’OSSEC
Une fois les dépendances installées, la prochaine installation est destinée à
OSSEC HIDS. Le code source d'OSSEC est disponible sur Github.
Vérifiez la dernière version avant de télécharger. Au moment d'écrire ces
lignes, le dernier en date est 3.1.0.
wget https://github.com/ossec/ossec-hids/archive/3.1.0.tar.gz

 Extraction du fichier compressé

Une fois téléchargé, extrayez le fichier avec la commande suivante :
tar -xvzf 3.1.0.tar.gz
Cette extraction créera un dossier, déplacez-vous vers ce dossier et exécutez le
script d'installation.
cd ossec-hids-3.1.0
./install.sh
La configuration commencer a aussitôt après la compilation du script
d’installation.

 Configuration et installation d’OSSEC

 Définir la langue
 Définir le type d’installation (serveur, local, agent, hybride)

2
  Notification par e-mail (si vous avez installé un serveur SMTP,
répondez y)
 Adresse mail par lequel les notifications seront envoyées (par exemple
admin@lptiasr.sn). Il faut que cette adresse corresponde avec celle que
vous avez crée dans votre serveur de messagerie.
 Adresse IP de votre serveur SMTP
Et pour le reste de la configuration laissez les options par défaut.
A la fin de la configuration tapez sur Entrée.
 Téléchargement et installation de l’interface graphique
git clone https://github.com/ossec/ossec-wui.git
sudo mv ossec-wui /srv
cd /srv/ossec-wui
./setup.sh
 Configuration de l’interface graphique
Après l’exécution du script setup, il vous sera demandé de définir un nom
d’utilisateur et un mot de passe pour pouvoir accéder à l’interface graphique
d’OSSEC.
Puis choisissez www-data comme utilisateur d’Apache autorisé à accéder à
l’interface graphique.
 Création d’un hôte virtuel Apache
nano /etc/apache2/sites-enabled/ossec-wui.conf
Mettez dans ce fichier ces quelques lignes :
<VirtualHost *:80>
DocumentRoot /srv/ossec-wui/
ServerName ossec.lptiasr.sn
ServerAlias www.ossec.lptiasr.sn
ServerAdmin admin@example.com

<Directory /srv/ossec-wui/>
Options +FollowSymlinks
AllowOverride All
Require all granted
</Directory>

3
 ErrorLog /var/log/apache2/moodle-error.log
CustomLog /var/log/apache2/moodle-access.log combined
</VirtualHost>
Remplacez lptiasr.sn par votre nom de domaine puis enregistrez le fichier et
quittez.
 Activation du module rewrite
Il faudra activer le module rewrite et redémarrer le serveur web Apache.
sudo a2enmod rewrite
sudo systemctl restart apache2

 Accès à l’interface graphique

Démarrez le serveur grace à la comande : /var/ossec/bin/ossec-control start.
Puis ouvrez http://ossec.lptiasr.sn dans votre navigateur Web et authentifiez-
vous auprès du tableau de bord.

4
 A la connexion vous devriez avoir une page comme ci-dessous :

II. Installation coté client(agent)

a) Installation d’un agent sous Linux
Rappelons que l’installation d’un serveur OSSEC ne se fait que sous Linux.
L’installation de l’agent se fait de la même façon avec des questions en moins
en choisissant le type d’installation(agent) et en validant les options par défaut.
Vous devriez aussi spécifier l’adresse IP du serveur OSSEC. Et aussi
l’installation d’une interface graphique ne sera pas nécessaire.

b) Installation d’un agent sous Windows

Après avoir téléchargé le setup d’OSSEC le plus récent, lancez-le, vous
devriez avoir une image comme celle-ci :

5
Cliquez sur Next, vous devriez avoir la fenêtre sur l’acceptation de la licence.

6
Cliquez sur I Agree la fenêtre sur le choix des composants à installer doit
s’ouvrir :

Cliquez sur Next, la fenêtre pour l’emplacement du logiciel à installer doit

s’ouvrir. Laissez le choix par défaut et cliquez sur Install

7
Laissez le processus d’installation se terminer puis cliquez sur Next. Et voila
l’installation est terminée. Décochez la case et cliquez sur Finish

8
 Cliquez sur la touche Windows et exécutez en tant qu’Administrateur le
logiciel nouvellement installé. Il ne vous restera plus qu’à mettre l’adresse IP
du serveur OSSEC et de coller la clé d’authentification générée par le serveur
pour cet agent.

III. Ajout des agents au niveau du serveur et importation des clés

vers les agents

A. Agent avec système d’exploitation Linux/Unix

Tout d’abord allez au niveau du serveur et démarrez le gestionnaire d’agents
OSSEC avec la commande /var/ossec/bin/manage_agents.

Choisissez l’option A et renseignez le nom, l’adresse IP et l’ID de l’agent

nouvellement créée. Et enfin vous confirmez l’ajout.

9
Retournez au menu principal et choisissez l’option E pour extraire la clé
d’authentification générée par le serveur pour l’agent. Puis saisissez l’ID de
l’agent dont vous voulez extraire la clé. Et enfin copiez la clé.

Déplacez vous au niveau de l’agent et démarrez le gestionnaire d’agents

OSSEC en tapant la commande /var/ossec/bin/manage_agents. Choisissez
l’option I pour pouvoir importer la clé d’authentification générée par le
serveur. Collez la clé puis appuyez sur Entrée et confirmez l’ajout de l’agent.

10
 Quittez le gestionnaire d’agents et redémarrez le serveur et démarrez l’agent
avec les commandes respectives /var/ossec/bin/ossec-control restart et
/var/ossec/bin/ossec-control start. Normalement quand vous actualisez
l’interface graphique du serveur vous devriez voir l’agent nouvellement créée.

NB : Pour l’extraction de la clé d’authentification générée par le serveur, il est

recommandé de couper la clé pour des raisons de sécurité.

B. Agent avec système d’exploitation Windows

11
L’agent OSSEC qui fonctionne sous Windows s’ajoute de la même façon que
celui fonctionnant sous Linux. Après l’extraction de la clé d’authentification
générée par le serveur pour l’agent Windows, déplacez vous vers l’agent et
exécutez en tant qu’administrateur le logiciel OSSEC qui se trouve dans le
menu Démarrer de Windows. Saisissez l’adresse IP du serveur OSSEC et
copiez la clé d’authentification puis cliquez sur Save et enfin cliquez sur
Manage puis sur Start OSSEC. Le statut devrait passer de Stopped à
Running.

Redémarrez le serveur puis vérifier au niveau de l’interface graphique du

serveur si l’agent Windows est ajouté avec le statut Active.

12