rokitoh@red-orbita:~#  aptitude install build-essential

rokitoh@red-orbita:~#  yum groupinstall «Development Tools»

rokitoh@red-orbita:~#  wget http://www.ossec.net/files/ossec-hids-2.7.1.tar.gz

rokitoh@red-orbita:~#  tar xvf ossec-hids-2.7.1.tar.gz

rokitoh@red-orbita:~#  cd ossec-hids-2.7.1/

rokitoh@red-orbita:~#  ./install.sh
** Para instalação em português, escolha [br].

** 要使用中文进行安装, 请选择 [cn].

** Fur eine deutsche Installation wohlen Sie [de].

** Για εγκατάσταση στα Ελληνικά, επιλέξτε [el].

** For installation in English, choose [en].

** Para instalar en Español , eliga [es].

** Pour une installation en français, choisissez [fr]

** A Magyar nyelvű telepítéshez válassza [hu].

** Per l’installazione in Italiano, scegli [it].

** 日本語でインストールします．選択して下さい．[jp].

** Voor installatie in het Nederlands, kies [nl].

** Aby instalować w języku Polskim, wybierz [pl].

** Для инструкций по установке на русском ,введите [ru].

** Za instalaciju na srpskom, izaberi [sr].

** Türkçe kurulum için seçin [tr].

(en/br/cn/de/el/es/fr/hu/it/jp/nl/pl/ru/sr/tr) [en]: es
OSSEC HIDS v2.7.1 Guión de instalación – http://www.ossec.net
Usted esta por comenzar el proceso de instalación del OSSEC HIDS.

Usted debe tener un compilador de C previamente instalado en el sistema.

Si usted tiene alguna pregunta o comentario, por favor envie un correo

electrónico a dcid@ossec.net <mailto:dcid@ossec.net> (daniel.cid@gmail.com

<mailto:daniel.cid@gmail.com> )

– Sistema: Linux lusy 3.12-1-amd64

– Usuario: root

– servidor: lusy

— Presione ENTER para continuar ó Ctrl-C para abortar. —

1- Que tipo de instalación Usted desea (servidor, agente, local ó ayuda)? local
– Usted eligió instalación Local.
2- Configurando las variables de entorno de la instalación.
– Eliga donde instalar OSSEC HIDS [/var/ossec]:
– La instalación se realizará en /var/ossec .
3- Configurando el sistema OSSEC HIDS.
3.1- Desea recibir notificación por correo electrónico? (s/n) [s]:

– Cuál es vuestra dirección de correo electrónico? XXXXXX@hotmail.com
– Hemos encontrado vuestro servidor de correo (SMTP): mx4.hotmail.com.

– Desea Usted usarlo? (s/n) [s]:
— Usando el servidor SMTP: mx4.hotmail.com.
3.2- Desea Usted agregar el servidor de integridad del sistema? (s/n) [s]:
– Ejecutando syscheck (servidor de integridad del sistema).
3.3- Desea Usted agregar el sistema de detección de rootkit? (s/n) [s]:
– Ejecutando rootcheck (sistema de detección de rootkit).
3.4- Respuestas activas le permitirán ejecutar un comando

específico en base a los eventos recibidos. Por ejemplo,

Usted podra bloquear una dirección IP ó deshabilitar el acceso

de un usuario específico.

Más información en:

http://www.ossec.net/en/manual.html#active-response
– Desea Usted habilitar respuesta activa? (s/n) [s]:

– Respuesta activa habilitada.
– Por omición, podemos habilitar el rechazo de servicio

o el abandono del paquete por medio del Firewall.

El rechazo agregara el ofendedor en el archivo etc/hosts.deny

y el abandono bloquara la comunicación con el ofendedor en iptables

(si el sistema fuera linux) ó ipfilter (si el sistema fuera

Solaris, FreeBSD or NetBSD).
– Las dos repuestas pueden ser utilizadas para detener un escaneo

de fuerza bruta contra SSHD, escaneo de puertos y otras formas

de ataque. Por ejemplo Usted podra tambien agregar los ofensores

de acuerdo a eventos registrados por medio de snort.

– Desea Usted habilitar la respuesta desechar en el Firewall? (s/n) [s]:
– Respuesta desechar en el Firewall habilitada (local) para niveles >= 6
– Lista blanca para respuesta activa por omisión:

– 62.81.16.213

– 62.81.29.254
– Desea Usted agregar más IPs a la lista blanca? (s/n)? [n]:
3.6- Estableciendo la configuración para analizar los siguientes registros:

— /var/log/messages

— /var/log/auth.log

— /var/log/syslog

— /var/log/mail.info

— /var/log/dpkg.log

– Si Usted deseara monitorear algún otro registro, solo

tendrá que editar el archivo ossec.conf y agregar una

nueva entrada de tipo localfile.

Cualquier otra pregunta de configuración podra ser

respondida visitandonos en linea en http://www.ossec.net .

rokitoh@red-orbita:~#   /var/ossec/bin/ossec-control start

rokitoh@red-orbita:~# /var/ossec/bin/ossec-control stop