Re: question IDS? reponse: OSSEC HIDS
Voilà, franchement c'est un très bon produit,
je pense le combiné avec des logs d'iptables pour contrôlé les scannes
et autres trucs louche
(actuellement je l'ai combiné avec iplog, il faut rajouté quelque régles
(sur le wiki il offre un tutorial pour le faire) mais iplog est moins
bien qu'un iptables fait sois même je pense).
J'ai toujours des problèmes avec mes logs access apaches :( il ne veut
pas les traités (enfin je vais cherché)
Sans oublié que OSSEC est un programmes qui est basé sur les LOG donc APRES,
c'est pour ça qu'il faut l'utilisé avec un firewall et une distrib mise
à jours le plus régulièrement possible
il permet d'assuré à 100% vos arrière dans le cas ou le firewall et la
distrib ne soit pas éfficace
(détection de rootkit, de buffer overflow, d'attaques diverses sur
diverses services (même apache, donc vérifié si une personnes joues avec
les URL pour y faire de l'injection SQL, de l'INCLUDE ou l'XSS)
car OSSEC répondra aux pire par un:
iptables -A INPUT -s attaquant -j DROP
Laurent Besson a écrit :
Bonsoir,
Question idiote, y a t'il un moyen de régler la sensibilité des règles...
Les fichiers dans /var/ossec/rules/ ?
A comment ossec choisit d'agir ou pas ? Quel(s) niveau(x) faut-il configurer ?
Bref c'est l'apprentissage !
dans la config (/var/ossec/etc/ossec.conf)
/*
<alerts>
<log_alert_level>1</log_alert_level>
</alerts>
*/
ici, c'est le niveau à partir duquel les alertes sont enregistrer.
toujours dans la config (/var/ossec/etc/ossec.conf)
/*
<active-response>
<!-- This response is going to execute the host-deny
- command for every event that fires a rule with
- level (severity) >= 6.
- The IP is going to be blocked for 600 seconds.
-->
<command>host-deny</command>
<location>local</location>
<level>6</level>
<timeout>1800</timeout>
</active-response>
*/
ou <level>X</level> représente le niveau à partir duquel la réponse
active s'activera.
Reply to: