OSSEC初探

時間  2019-11-08
標籤 ossec 初探 简体版
原文   原文鏈接

OSSEC初探html

 

概念:mysql

  OSSEC是一款開源的基於主機的入侵檢測系統(HIDS),它能夠執行日誌分析、完整性檢驗、windows註冊表監控、隱匿性檢測和實時告警。它能夠運行在各類不一樣的操做系統上,包括Linux、OpenBSD、Mac OS X、Solaris和windows。linux

 

架構:git

OSSEC由多個模塊組成,包括服務端、agent端、數據庫、日誌系統等。github

簡單的理解,OSSEC工做於C/S模式,由agent監控收集信息上報給Server端,Server端對信息進行分析和預處理,並經過郵件將系統的變化發送給管理員。sql

server端保存全部的規則信息,解碼器、主要配置選項,用於處理agent上報的信息,這樣使得管理大量的客戶端變得簡單易配置,數據庫

agent是個很小的程序,用於監控系統,收集上報信息,只會佔用很小的CPU和內存資源。vim

 

 

安裝:windows

OS Version:CentOS 6.5服務器

OSSEC Version:2.8.3

 

安裝依賴:

yum -y install mysql-devel

 

mysql配置:

mysql -uroot -p

mysql> create database ossec;
Query OK, 1 row affected (0.02 sec)

mysql> grant all on ossec.* to ossec@localhost identified by 'ossec';
Query OK, 0 rows affected, 1 warning (0.01 sec)

mysql> flush privileges;
Query OK, 0 rows affected (0.02 sec)

 

安裝:

tar -zxvf ossec-hids-2.8.3.tar.gz

cd  ossec-hids-2.8.3/src

make setdb

Info: Compiled with MySQL support.

cd ..

./install.sh 

進入交互式安裝界面

** Para instalação em português, escolha [br].
  ** 要使用中文進行安裝, 請選擇 [cn].
  ** Fur eine deutsche Installation wohlen Sie [de].
  ** Για εγκατάσταση στα Ελληνικά, επιλέξτε [el].
  ** For installation in English, choose [en].
  ** Para instalar en Español , eliga [es].
  ** Pour une installation en français, choisissez [fr]
  ** A Magyar nyelvű telepítéshez válassza [hu].
  ** Per l'installazione in Italiano, scegli [it].
  ** 日本語でインストールします.選択して下さい.[jp].
  ** Voor installatie in het Nederlands, kies [nl].
  ** Aby instalować w języku Polskim, wybierz [pl].
  ** Для инструкций по установке на русском ,введите [ru].
  ** Za instalaciju na srpskom, izaberi [sr].
  ** Türkçe kurulum için seçin [tr].
  (en/br/cn/de/el/es/fr/hu/it/jp/nl/pl/ru/sr/tr) [en]: cn    #選擇cn
 OSSEC HIDS v2.8.3 安裝腳本 - http://www.ossec.net
 
 您將開始 OSSEC HIDS 的安裝.
 請確認在您的機器上已經正確安裝了 C 編譯器.
 若是您有任何疑問或建議,請給 dcid@ossec.net (或 daniel.cid@gmail.com) 發郵件.
 
  - 系統類型: Linux Master 2.6.32-573.el6.x86_64
  - 用戶: root
  - 主機: Master


  -- 按 ENTER 繼續或 Ctrl-C 退出. --
1- 您但願哪種安裝 (server, agent, local or help)? server     #服務端選擇server,客戶端選擇agent

  - 選擇了 Server 類型的安裝.

2- 正在初始化安裝環境.

 - 請選擇 OSSEC HIDS 的安裝路徑 [/var/ossec]: /usr/local/ossec

    - OSSEC HIDS 將安裝在  /usr/local/ossec .

3- 正在配置 OSSEC HIDS.

  3.1- 您但願收到e-mail告警嗎? (y/n) [y]: y
   - 請輸入您的 e-mail 地址? test@163.com
   - 請輸入您的 SMTP 服務器IP或主機名 ? test

  3.2- 您但願運行系統完整性檢測模塊嗎? (y/n) [y]: y

   - 系統完整性檢測模塊將被部署.

  3.3- 您但願運行 rootkit檢測嗎? (y/n) [y]: y

   - rootkit檢測將被部署.
       
  3.4- 關聯響應容許您在分析已接收事件的基礎上執行一個
       已定義的命令.
       例如,你能夠阻止某個IP地址的訪問或禁止某個用戶的訪問權限.
       更多的信息,您能夠訪問:
       http://www.ossec.net/en/manual.html#active-response
   - 您但願開啓聯動(active response)功能嗎? (y/n) [y]: y


     - 關聯響應已開啓

   - 默認狀況下, 咱們開啓了主機拒絕和防火牆拒絕兩種響應.
     第一種狀況將添加一個主機到 /etc/hosts.deny.
     第二種狀況將在iptables(linux)或ipfilter(Solaris,
     FreeBSD 或 NetBSD)中拒絕該主機的訪問.
   - 該功能能夠用以阻止 SSHD 暴力攻擊, 端口掃描和其餘
     一些形式的攻擊. 一樣你也能夠將他們添加到其餘地方,
     例如將他們添加爲 snort 的事件.

   - 您但願開啓防火牆聯動(firewall-drop)功能嗎? (y/n) [y]: y

     - 防火牆聯動(firewall-drop)當事件級別 >= 6 時被啓動

   - 聯動功能默認的白名單是:
      - 114.114.114.114
      - 218.85.152.99
      - 218.85.157.99

   - 您但願添加更多的IP到白名單嗎? (y/n)? [n]: y
   - 請輸入IP (用空格進行分隔): 8.8.8.8

  3.5- 您但願接收遠程機器syslog嗎 (port 514 udp)? (y/n) [y]: y

   - 遠程機器syslog將被接收.

  3.6- 設置配置文件以分析一下日誌:
    -- /var/log/messages
    -- /var/log/secure
    -- /var/log/maillog

                            
 -若是你但願監控其餘文件, 只須要在配置文件ossec.conf中
  添加新的一項. 
  任何關於配置的疑問您均可以在 http://www.ossec.net 找到答案.


  --- 按 ENTER 以繼續 ---

 

完成安裝,開始進行配置

添加ossec用戶和組:

useradd ossec

useradd ossecm -g ossec

useradd ossecr -g ossec

/usr/local/ossec/bin/ossec-control enable database

mysql -uossec -p < ./src/os_dbd/mysql.schema      #新增表

chmod u+w /usr/local/ossec/etc/ossec.conf

vim /usr/local/ossec/etc/ossec.conf

添加

<database_output>
    <hostname>127.0.0.1</hostname>
    <username>ossec</username>
    <password>ossec</password>
    <database>ossec</database>
    <type>mysql</type>
  </database_output>
 <remote>
    <connection>syslog</connection>
    <allowed-ips>192.168.1.0/24</allowed-ips>
  </remote>

  <remote>
    <connection>secure</connection>
    <allowed-ips>192.168.1.0/24</allowed-ips>
  </remote>

 

添加agent

/usr/local/ossec/bin/manage_agents

****************************************
* OSSEC HIDS v2.8.3 Agent manager.     *
* The following options are available: *
****************************************
   (A)dd an agent (A).
   (E)xtract key for an agent (E).
   (L)ist already added agents (L).
   (R)emove an agent (R).
   (Q)uit.
Choose your action: A,E,L,R or Q: A     #選擇添加agent

- Adding a new agent (use '\q' to return to the main menu).
  Please provide the following:
   * A name for the new agent: ossec-agent-7        #agent的名詞
   * The IP Address of the new agent: 192.168.1.7
   * An ID for the new agent[001]:                   #默認,直接按Enter
Agent information:
   ID:001
   Name:ossec-agent-7
   IP Address:192.168.1.7

Confirm adding it?(y/n): y
Agent added.


****************************************
* OSSEC HIDS v2.8.3 Agent manager.     *
* The following options are available: *
****************************************
   (A)dd an agent (A).
   (E)xtract key for an agent (E).
   (L)ist already added agents (L).
   (R)emove an agent (R).
   (Q)uit.
Choose your action: A,E,L,R or Q: E     #查找Agent的key,在安裝agent端時需插入該key

Available agents: 
   ID: 001, Name: ossec-agent-7, IP: 192.168.1.7
Provide the ID of the agent to extract the key (or '\q' to quit): 001

Agent key information for '001' is: 
MDAxIG9zc2VjLWFnZW50LTcgMTkyLjE2OC4xLjcgMDNjNDc0ZDFmYWM0ZGZkMjgzOTQ5NjIwMTYzZGZkZmYxYjNkMTJhMTA3MjcwNWFiMDEwOTVhOWFmNGFhZmFlNw==

** Press ENTER to return to the main menu

 

/usr/local/ossec/bin/ossec-control start

 

Agent安裝配置:

useradd ossec
tar -zxvf ossec-hids-2.8.3.tar.gz
cd  ossec-hids-2.8.3/src
cd ..
./install.sh 
** Para instalação em português, escolha [br].
  ** 要使用中文進行安裝, 請選擇 [cn].
  ** Fur eine deutsche Installation wohlen Sie [de].
  ** Για εγκατάσταση στα Ελληνικά, επιλέξτε [el].
  ** For installation in English, choose [en].
  ** Para instalar en Español , eliga [es].
  ** Pour une installation en français, choisissez [fr]
  ** A Magyar nyelvű telepítéshez válassza [hu].
  ** Per l'installazione in Italiano, scegli [it].
  ** 日本語でインストールします.選択して下さい.[jp].
  ** Voor installatie in het Nederlands, kies [nl].
  ** Aby instalować w języku Polskim, wybierz [pl].
  ** Для инструкций по установке на русском ,введите [ru].
  ** Za instalaciju na srpskom, izaberi [sr].
  ** Türkçe kurulum için seçin [tr].
  (en/br/cn/de/el/es/fr/hu/it/jp/nl/pl/ru/sr/tr) [en]: cn
which: no host in (/usr/local/sbin:/usr/local/bin:/usr/sbin:/usr/bin:/root/bin)
 OSSEC HIDS v2.8.3 安裝腳本 - http://www.ossec.net
 
 您將開始 OSSEC HIDS 的安裝.
 請確認在您的機器上已經正確安裝了 C 編譯器.
 若是您有任何疑問或建議,請給 dcid@ossec.net (或 daniel.cid@gmail.com) 發郵件.
 
  - 系統類型: Linux localhost.localdomain 3.10.0-327.el7.x86_64
  - 用戶: root
  - 主機: localhost.localdomain


  -- 按 ENTER 繼續或 Ctrl-C 退出. --


1- 您但願哪種安裝 (server, agent, local or help)? agent

  - 選擇了 Agent(client) 類型的安裝.

2- 正在初始化安裝環境.

 - 請選擇 OSSEC HIDS 的安裝路徑 [/var/ossec]: /usr/local/ossec

    - OSSEC HIDS 將安裝在  /usr/local/ossec .

3- 正在配置 OSSEC HIDS.

  3.1- 請輸入 OSSEC HIDS 服務器的IP地址或主機名: 192.168.1.7

   - 添加服務器IP  192.168.1.7

  3.2- 您但願運行系統完整性檢測模塊嗎? (y/n) [y]: y

   - 系統完整性檢測模塊將被部署.

  3.3- 您但願運行 rootkit檢測嗎? (y/n) [y]: y

   - rootkit檢測將被部署.

  3.4 - 您但願開啓聯動(active response)功能嗎? (y/n) [y]: y


  3.5- 設置配置文件以分析一下日誌:
    -- /var/log/messages
    -- /var/log/secure
    -- /var/log/maillog

                            
 -若是你但願監控其餘文件, 只須要在配置文件ossec.conf中
  添加新的一項. 
  任何關於配置的疑問您均可以在 http://www.ossec.net 找到答案.


  --- 按 ENTER 以繼續 ---

 

從服務端獲取key,並插入到客戶端:

/usr/local/ossec/bin/manage_agents

****************************************
* OSSEC HIDS v2.8.3 Agent manager.     *
* The following options are available: *
****************************************
   (I)mport key from the server (I).
   (Q)uit.
Choose your action: I or Q: I

* Provide the Key generated by the server.
* The best approach is to cut and paste it.
*** OBS: Do not include spaces or new lines.

Paste it here (or '\q' to quit):
MDAxIG9zc2VjLWFnZW50LTcgMTkyLjE2OC4xLjcgMDNjNDc0ZDFmYWM0ZGZkMjgzOTQ5NjIwMTYzZGZkZmYxYjNkMTJhMTA3MjcwNWFiMDEwOTVhOWFmNGFhZmFlNw==
 

 

/usr/local/ossec/bin/ossec-control start
 

 
 

 
 

參考:
 

http://ossec.github.io/docs/


        

            

        	





    

		

            
相關文章

            

                

                

                    

                

            


            
相關標籤/搜索

            
        


    

        

            

        

        

        
        

        

        

    




	

    





    

    	

    

        每日一句
    

    
    
    	每一个你不满意的现在,都有一个你没有努力的曾经。
    







    

    


    



    

        本站公眾號
    

    

           歡迎關注本站公眾號,獲取更多信息

        
    




    

    




	


	







    

        聯繫我們
        最近搜索
        最新文章
        
        沪ICP备13005482号-10

            MyBatis教程
            SQL 教程
            MySQL教程
            Java 教程
            Thymeleaf 教程
            Hibernate教程
            Spring教程 
            Redis教程