LINUX:Wazuh: HIDS

(7 versions intermédiaires par le même utilisateur non affichées)

Ligne 49 :

[wazuh]

gpgcheck=1

gpgkey=https://packages.wazuh.com/key/GPG-KEY-WAZUH

gpgkey=<nowiki>https://packages.wazuh.com/key/GPG-KEY-WAZUH</nowiki>

enabled=1

name=EL-$releasever - Wazuh

baseurl=https://packages.wazuh.com/4.x/yum/

baseurl=<nowiki>https://packages.wazuh.com/4.x/yum/</nowiki>

protect=1

----

Ligne 71 :

=Configurer le mur de feu ou FireWall=

Comme des échanges se font via le réseau entre le serveur et les agents, il faut ajouter deux règles au FireWall.

Comme des échanges se font via le réseau entre le serveur et les agents, il faut ajouter deux règles au FireWall dans le fichier "/etc/sysconfig/iptables".

* Voici ces règles pour IPTABLES à mettre sur le serveur:

----

-A INPUT -p tcp -m tcp --dport 1514 -s 192.168.1.0/24 -j ACCEPT

-A INPUT -p tcp -m tcp --dport 1514 -s 192.168.1.0/24 -m conntrack --ctstate NEW -j ACCEPT

-A INPUT -p tcp -m tcp --dport 1515 -s 192.168.1.0/24 -j ACCEPT

-A INPUT -p tcp -m tcp --dport 1515 -s 192.168.1.0/24 -m conntrack --ctstate NEW -j ACCEPT

----

Ici on ouvre l'accès à tous le LAN local. On peux être plus restrictif:

Ligne 241 :

</server>

<config-profile>'''fedora, ~~fedora34~~'''</config-profile>

<config-profile>'''fedora, fedora40'''</config-profile>

<notify_time>10</notify_time>

<time-reconnect>60</time-reconnect>

Ligne 250 :

----

Au passage, remarquons que l'installation a reconnu le nom de notre distribution.

Le fichier de configuration "/var/ossec/etc/internal_options.conf" déjà évoqué sur le serveur, existe aussi sur l'agent distant (machines "B" et suivantes). Il y a deux options qu'il est utile d'activer.

Ces paramètres sont à ajouter dans le fichier local "'''/var/ossec/etc/local_internal_options.conf'''". S'il n'existe pas, on le crée.

----

wazuh_command.remote_commands=1

logcollector.remote_commands=1

----

@@ Ligne 49 : / Ligne 49 : @@
   [wazuh]
   gpgcheck=1
-  gpgkey=https://packages.wazuh.com/key/GPG-KEY-WAZUH
+  gpgkey=<nowiki>https://packages.wazuh.com/key/GPG-KEY-WAZUH</nowiki>
   enabled=1
   name=EL-$releasever - Wazuh
-  baseurl=https://packages.wazuh.com/4.x/yum/
+  baseurl=<nowiki>https://packages.wazuh.com/4.x/yum/</nowiki>
   protect=1
 ----
@@ Ligne 71 : / Ligne 71 : @@
 =Configurer le mur de feu ou FireWall=
-Comme des échanges se font via le réseau entre le serveur et les agents, il faut ajouter deux règles au FireWall.
+Comme des échanges se font via le réseau entre le serveur et les agents, il faut ajouter deux règles au FireWall dans le fichier "/etc/sysconfig/iptables".
 * Voici ces règles pour IPTABLES à mettre sur le serveur:
 ----
-  -A INPUT -p tcp -m tcp --dport 1514  -s 192.168.1.0/24 -j ACCEPT
+  -A INPUT -p tcp -m tcp --dport 1514  -s 192.168.1.0/24 -m conntrack --ctstate NEW -j ACCEPT
-  -A INPUT -p tcp -m tcp --dport 1515  -s 192.168.1.0/24 -j ACCEPT
+  -A INPUT -p tcp -m tcp --dport 1515  -s 192.168.1.0/24 -m conntrack --ctstate NEW -j ACCEPT
 ----
 Ici on ouvre l'accès à tous le LAN local. On peux être plus restrictif:
@@ Ligne 241 : / Ligne 241 : @@
        <protocol>tcp</protocol>
      </server>
-     <config-profile>'''fedora, fedora34'''</config-profile>
+     <config-profile>'''fedora, fedora40'''</config-profile>
      <notify_time>10</notify_time>
      <time-reconnect>60</time-reconnect>
@@ Ligne 250 : / Ligne 250 : @@
 ----
 Au passage, remarquons que l'installation a reconnu le nom de notre distribution.
+Le fichier de configuration "/var/ossec/etc/internal_options.conf" déjà évoqué sur le serveur, existe aussi sur l'agent distant (machines "B" et suivantes). Il y a deux options qu'il est utile d'activer.
+Ces paramètres sont à ajouter dans le fichier local "'''/var/ossec/etc/local_internal_options.conf'''". S'il n'existe pas, on le crée.
+----
+ wazuh_command.remote_commands=1
+ logcollector.remote_commands=1
+----

« LINUX:Wazuh: HIDS » : différence entre les versions

« LINUX:Wazuh: HIDS » : différence entre les versions