LINUX:Wazuh-SYSCHECK

De WIKI sur Linux (ADB)
Révision datée du 24 novembre 2022 à 14:36 par Adebast (discussion | contributions) (Page créée avec « __FORCETOC__ ---- ''→ retour au menu pour les actions préventives'' ---- =But= Ce module repère tout changement de taille et de contenu d'une vaste sélection de fichiers du système. Il joue un rôle semblable au logiciel "Rkhunter" vu dans un autre article. =Configuration= Sur la machine où le service "wazuh-manager" s'exécute, cette configuration est placée dans le fichier "/var/ossec/etc/ossec.co... »)
(diff) ← Version précédente | Voir la version actuelle (diff) | Version suivante → (diff)
Aller à la navigation Aller à la recherche

retour au menu pour les actions préventives

But

Ce module repère tout changement de taille et de contenu d'une vaste sélection de fichiers du système. Il joue un rôle semblable au logiciel "Rkhunter" vu dans un autre article.


Configuration

Sur la machine où le service "wazuh-manager" s'exécute, cette configuration est placée dans le fichier "/var/ossec/etc/ossec.conf".

Sur les machines hébergeant l'agent distant, la configuration peut être contenue dans le fichier du même nom mais il est plus pratique de transmettre cette configuration via le système de partage vu précédemment. Dans le cas du partage par défaut, sur la machine Manager, ce fichier se nomme "/var/ossec/etc/shared/default/agent.conf" et sur l'agent distant, il se trouve sous le nom "/var/ossec/etc/default/agent.conf".

La configuration est comprise entre les balises <syscheck> et </syscheck>. Celle venant en base lors de l’installation est suffisante.

Voici une configuration de base: 

 <syscheck>
   <disabled>no</disabled>
   <frequency>43200</frequency>
   <scan_on_start>no</scan_on_start>
   <alert_new_files>yes</alert_new_files>
   <auto_ignore frequency="10" timeframe="3600">no</auto_ignore>
 
   <directories>/etc,/usr/bin,/usr/sbin</directories>
   <directories>/bin,/sbin,/boot</directories>
 
   <ignore>/etc/mtab</ignore>
   <ignore>/etc/hosts.deny</ignore>
   <ignore>/etc/mail/statistics</ignore>
   <ignore>/etc/random-seed</ignore>
   <ignore>/etc/random.seed</ignore>
   <ignore>/etc/adjtime</ignore>
   <ignore>/etc/httpd/logs</ignore>
   <ignore>/etc/utmpx</ignore>
   <ignore>/etc/wtmpx</ignore>
   <ignore>/etc/cups/certs</ignore>
   <ignore>/etc/dumpdates</ignore>
   <ignore>/etc/svc/volatile</ignore>
   <ignore>/etc/webmin/system-status/info</ignore>
   <ignore>/etc/webmin/system-status/history</ignore>
   <ignore type="sregex">.log$|.swp$</ignore>
   <nodiff>/etc/ssl/private.key</nodiff>
 
   <skip_nfs>yes</skip_nfs>
   <skip_dev>yes</skip_dev>
   <skip_proc>yes</skip_proc>
   <skip_sys>yes</skip_sys>
   <process_priority>10</process_priority>
   <max_eps>100</max_eps>
 
   <synchronization>
     <enabled>yes</enabled>
     <interval>5m</interval>
     <max_interval>1h</max_interval>
     <max_eps>10</max_eps>
   </synchronization>
 </syscheck>

J'ai gardé en grande partie la configuration proposée lors de l'installation.

Une partie mérite votre attention. Le serveur vérifie les modifications apportées à un certains nombre de fichiers et spécialement le répertoire "/etc" qui contient toutes les configurations. J'ai installé "WebMin" et certains fichiers se modifient continuellement; nous allons donc les ignorer.




retour au menu pour les actions préventives

Récupérée de « https://www.adbweb.gslb.eu/wiki/index.php?title=LINUX:Wazuh-SYSCHECK&oldid=2810 »