WIKI sur Linux (ADB)

« LINUX:Wazuh: HIDS » : différence entre les versions

← Modification précédenteModification suivante →
Aucun résumé des modifications
Aucun résumé des modifications
Ligne 7 : Ligne 7 :


Wazuh est basé à l'origine sur le logiciel OSSEC. Il corrige beaucoup de fonctionnalités et va plus loin.
Wazuh est basé à l'origine sur le logiciel OSSEC. Il corrige beaucoup de fonctionnalités et va plus loin.
La documentation se trouve à l'URL suivante (version 4): <nowiki>https://documentation.wazuh.com/4.0/user-manual/overview.html</nowiki>




Ligne 65 : Ligne 67 :




=Configurer le mur de feu ou FireWall=
Comme des échanges se font via le réseau entre le serveur et les agents, il faut ajouter deux règles au FireWall.
* Voici ces règles pour IPTABLES à mettre sur le serveur:
----
-A INPUT -p tcp -m tcp --dport 1514  -s 192.168.1.0/24 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 1515  -s 192.168.1.0/24 -j ACCEPT
----
Ici on ouvre l'accès à tous le LAN local. On peux être plus restrictif:
* En activant la seconde règle que quand on veut ajouter une nouvelle machine agent.
* En nommant explicitement les adresses IP des agents plutôt que de l'ouvrir à tout le réseau local.
* Voici ces règles pour IPTABLES à mettre sur les agents en supposant que l'adresse IP du serveur est 192.168.1.110:
----
-A OUTPUT -p tcp -m tcp --dport 1514 -d 192.168.1.110 -j ACCEPT
-A OUTPUT -p tcp -m tcp --dport 1515 -d 192.168.1.110 -j ACCEPT
----
On peut faire la même remarque pour la seconde règle que pour le serveur. Dès que l'agent est reconnu par le serveur, elle peut être éliminée.
=Configuration de base du serveur=




=Activer et lancer le service du serveur=
Le service à lancer est Wazuh-manager. La première commande active le service pour qu'à chaque démarrage du serveur, le service se lance. La seconde lance directement le service. La troisième relance le service.


systemctl enable wazuh-manager
systemctl start wazuh-manager
systemctl restart wazuh-manager


=Configuration de base de l'agent=
=Activer et lancer le service de l'agent=
Le service à lancer est Wazuh-agent. La première commande active le service pour qu'à chaque démarrage du serveur, le service se lance. La seconde lance directement le service. La troisième relance le service.
systemctl enable wazuh-agent
systemctl start wazuh-agent
systemctl restart wazuh-agent




services




test configuration


test regle




test configuration


test regle








=Configurer le mur de feu ou FireWall=
Comme des échanges se font via le réseau entre le serveur et les agents, il faut ajouter deux règles au FireWall.


* Voici ces règles pour IPTABLES à mettre sur le serveur:
----
-A INPUT -p tcp -m tcp --dport 1514  -s 192.168.1.0/24 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 1515  -s 192.168.1.0/24 -j ACCEPT
----
Ici on ouvre l'accès à tous le LAN local. On peux être plus restrictif:
* En activant la seconde règle que quand on veut ajouter une nouvelle machine agent.
* En nommant explicitement les adresses IP des agents plutôt que de l'ouvrir à tout le réseau local.


* Voici ces règles pour IPTABLES à mettre sur les agents en supposant que l'adresse IP du serveur est 192.168.1.110:
----
-A OUTPUT -p tcp -m tcp --dport 1514 -d 192.168.1.110 -j ACCEPT
-A OUTPUT -p tcp -m tcp --dport 1515 -d 192.168.1.110 -j ACCEPT
----
On peut faire la même remarque pour la seconde règle que pour le serveur. Dès que l'agent est reconnu par le serveur, elle peut être éliminée.




Récupérée de "https://www.adbweb.gslb.eu/wiki/index.php?title=LINUX:Wazuh:_HIDS"