Em 28/03/07, Patrick Tracanelli<[EMAIL PROTECTED]> escreveu: > Celso Viana escreveu: > > Em 28/03/07, Patrick Tracanelli<[EMAIL PROTECTED]> escreveu: > >> Rafael Busetti escreveu: > >>> Boa tarde pessoal, > >>> > >>> To aqui testando o OSSEC faz mais ou menos uns 4 dias, para ver todo o > >>> funcionamento dele ... ele envia email, consegui trabalhar com ele > >>> tranquilamente, porém em questão do Active-Responde eu não estou > >>> conseguindo fazer ele funcionar ... precisa fazer alguma configuração > >>> mais especifica? Procurei aqui porém não achei nada, meus logs do IPFW > >>> são salvos no /var/log/ipfw/ipfw.log ... porém nao achei nenhum lugar > >>> para especificar isso para o OSSEC ... como sei se está funcionadno > >>> está parte? > >>> > >>> OBrigado! > >>> ------------------------- > >>> Histórico: http://www.fug.com.br/historico/html/freebsd/ > >>> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd > >> O firewall-drop padrao nao eh o de IPFW.Se nao me engano eh de Linux, > >> entao voce deve copiar o de ipfw (que esta no fonte do ossec, nao eh > >> instalado) para o local apropriado: > >> > >> cp /path/source/do/ossec-hids-1.1/active-response/firewalls/ipfw.sh \ > >> /var/ossec/active-response/bin/firewall-drop.sh > >> > >> Voila, voce esta pronto. Considere substituir o numero da regra e o > >> numero da table de acordo com o setup do seu firewall. Se voce nao usa > >> table e nao quer ter excecoes ao active-response entao nao precisa fazer > >> nada. > >> > >> De resto basta testar e adaptar as regras de active-response, lembrando > >> que por padrao o nivel de alertas para ativar active response eh 7 ou 8 > >> se nao me engano que eh muito baixo, sucetivel a falso-positivos. Eu por > >> exemplo so uso active response em regras acima de 9, e inclusive minhas > >> proprias regras tem level acima de 9. > >> > >> O que me remete a "testes" em ambiente de producao, que eu indico que > >> voce substitua a regra de active response por "count" ao inves de "deny" > >> durante suas etapas de teste (ate que voce valide as regras e diminua > >> possibilidades de falso-positivos) senao as chances de voce se bloquear > >> sao altas. > >> > >> > >> -- > >> Patrick Tracanelli > >> > >> FreeBSD Brasil LTDA. > >> (31) 3281-9633 / 3281-3547 > >> [EMAIL PROTECTED] > >> http://www.freebsdbrasil.com.br > >> "Long live Hanin Elias, Kim Deal!" > >> > >> ------------------------- > >> Histórico: http://www.fug.com.br/historico/html/freebsd/ > >> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd > >> > > > > Patrick, > > > > Já tem port para esse programa? > > > > Nao tem nao Celso, mas o tar ball ja instala perfeitamente no FreeBSD, a > unica observacao pra fazer o port seria o startup pois ele usa o > rc.local. Por outro lado esse HIDS tem processos que rodam chrootado > enquanto outros nao, entao tem que instalar tudo num soh path. Isso pode > merecer algumas consideracoes dos commiters. Eu iniciei o port desse > HIDS mas nao acabei hehe. > > -- > Patrick Tracanelli > > FreeBSD Brasil LTDA. > (31) 3281-9633 / 3281-3547 > [EMAIL PROTECTED] > http://www.freebsdbrasil.com.br > "Long live Hanin Elias, Kim Deal!" > > ------------------------- > Histórico: http://www.fug.com.br/historico/html/freebsd/ > Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd >
Estou esperando o anuncio do ports... valews -- Celso Vianna BSD User: 51318 http://www.bsdcounter.org 63 8404-8559 Palmas/TO ------------------------- Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
