segunda-feira, novembro 26, 2007

Alguém se lembra?

Todo Gamer da década de 90 com certeza lembrará desses clássicos.
Assista o vídeo.



Ô saudade ...

Agradecimentos especiais a Ca pelo vídeo!!!

sexta-feira, novembro 16, 2007

Centralizando a visualização de logs com Ossec-Hids


Em um ambiente com um servidor, que precisa ser tolerante à falhas é essencial uma boa olhada nos logs de vez em quando. Mas e no caso de vários servidores a serem monitorados? Pois bem, neste poste apresentarei o Ossec-Hids. Uma ótima ferramenta de monitoração de logs, que permite a centralização deles. Então mesmo tendo muitos servidores à monitorar, você vai precisar olhar somente em um lugar. Isso porque o Ossec-Hids funciona como um servidor de logs, recebendo a informação dos clientes e apresentando em uma interface WEB.
Além de apresentar os logs de uma maneira centralizada, o Ossec também faz a checagem de integridade no filesystem. Você terá o controle de arquivos criados, modificados, deletados. Tudo configurável à partir dos arquivos na estrutura xml do Ossec, inclusive as regras de monitoramento e alarme dos logs.
Ah, ía me esquecendo, o desenvolvedor e mantenedor do Ossec é um brasileiro. Bem mãos a obra.

Instalando
Baixe o software aqui
Descompacte o ossec-hids-1.4.tar.gz
tar -zxvf ossec-hids-1.4.tar.gz
Rode o ./install.sh
O script perguntará qual tipo de instalação você fará
server - será o server que tratará os logs
agent - cliente que enviará os logs pro server
local - no caso de apenas um servidor sem agents a monitorar logs.
Escolha server.
A seguir, o script aplicará as RULES (regras) em alguns logs (messages/secure...), compilará os módulos e te perguntará o tipo de arquivo de inicialização rc.d ou red hat like (/etc/init.d).

WEB GUI
Para instalar o WEB GUI você precisará do Apache e PHP
WEB GUI aqui
Descompacte o arquivo no ROOT do seu apache (ex. /var/www/html).
tar -zxvf ossec-wui-0.2.tar.gz -C /var/www/html
Entre na pasta e rode o ./setup.sh
Depois adicione o usuário do seu serv. WEB (ex. apache) no grupo OSSEC
gpasswd -a ossec apache
acesse a URL
http://localhost/ossec-wui

Agents (clients)
Os clients podem ser tanto Linux como Windows
A versão windows aqui
A versão Linux é o mesmo tar.gz da instalação do server, você só precisará mudar na hora de escolher o tipo de instalação. Escolha Agent.
./install.sh
no tipo de instalação escolha agent
informe o IP do servidor quando for solicitado.

Adicionando os agents
A comunicação entre os agents e o server é criptografada. Para adicionar os agents é necessário uma chave que será criada no server. Para isso, no Server, entre no diretório /var/ossec/bin e rode ./manage_agents
O comando te lista 5 opções.
para adicionar os agentes escolha a opção "(A)dd an agent (A)"
informe um nome e o IP do agente (client)
Depois de adicionado o agente, será neecssário extrair a chave.
Escolha a opção "(E)xtract key for an agent (E)", o script listará os agentes disponíveis, identificados por um ID. Escolha o agent. E a chave será impressa na tela.
Vá no agent, na pasta /var/ossec/bin e rode o mesmo ./manage_agents
escolha a opção (I)mport key for the server (I). E cole a chave.
Agora só reiniciar o serviço Ossec
/etc/init.d/ossec restart no server e no agent.

O Ossec permite muito controle sobre o que é apresentado ou não. No diretório /var/ossec/rules estão todas as regras aplicadas nos logs.
Você pode filtrar uma mensagem específica no log (fazendo uma regex), mandar printar só se aparecer N vezes, enfim, uma infinidade de opções que valem muito a pena serem exploradas.
Ah, e tem o Active Response, que é uma medida que o Ossec toma caso alguma regra que você configurou bata. Ex. colocar um IP em /etc/hosts.deny após algumas tentativas de acessos sem sucesso por ssh, executar comandos específicos, scripts.... Aí é soltar a imaginação.

O site oficial é http://www.ossec.net
Vale muito a pena dar uma olhada no manual, para poder filtrar melhor os alarmes.

quinta-feira, novembro 15, 2007

Estou voltando

Passei aqui só pra avisar que estou voltando.
Sei que estive muito ausente nesses mais de 6 meses sem postar, mas... aconteceram muitas coisas nesse tempo. Coisas boas, que com certeza eu posso afirmar: foi (está sendo ainda) a época mais feliz da minha vida! Em outras palavras: "To feliz pra CARALHO!"
Bem que dizem "Trabalho novo, vida nova!" mas não achei que fosse tanto.
Pois é, agora trabalho no que mais gosto, Networking, Linux e Voip, e por tabela estou aprendendo desenvolvimento Java pra WEB e muito Ingles. Hehe, em 3 meses conheci o protocolo SIP inteiro...
E esse "arcabouço" de aprendizado em Voip me fez ter uma excelente idéia pro TCC da faculdade. Estudar o IPv6. Já estudei bastante, logo logo, posto algo apresentando.
Outra coisa importante, até mais que as outras para essa felicidade, é a pessoa que eu quero oferecer este post. A grande influência pra conquista desse trabalho (quase me obrigando a fazer a inscrição). Quem fica escutando minhas explicações sobre capturas de chamadas voip (INVITE, ACK, ...) e entende e discute quando eu explico a necessidade de adoção do IPv6, e várias outras nerdices. E, o mais importante, saber me apoiar quando eu mais precisei.
É Cleide, você conseguiu né. Já se passaram 6 meses e eu continuo me surpreendendo e adorando namorar com você. Ainda mais agora que amadurecemos no relacionamento.
Bem Criança, tá tarde, essa foi uma mini homenagem pra você dos nossos 6 meses de namoro. (um pouco atrasada!) Amo você!
Peço desculpas para os leitores do blog, mas tive que abrir um espaço pra essa ocasião. Em breve postarei dicas, artigo e as besteiras de sempre. E tem muita coisa pra postar.
Um abraço a todos e um beijo pra minha Criança!