開源入侵檢測系統OSSEC搭建之一:服務端安裝

時間  2019-11-09
標籤 開源 入侵 檢測 系統 ossec 搭建 之一 服務 安裝 欄目 系統安全 简体版
原文   原文鏈接

OSSEC是一款開源的多平臺的入侵檢測系統,能夠運行於Windows, Linux, OpenBSD/FreeBSD,php

以及 MacOS等操做系統中。主要功能有日誌分析、完整性檢查、rootkit檢測、基於時間的警報和主動響應。html

除了具備入侵檢測系統功能外,它還通常被用在SEM/SIM(安全事件管理(SEM: Security Event Management)/mysql

安全信息管理(SIM:SecurityInformation Management))解決方案中。因其強大的日誌分析引擎,sql

ISP(Internet service provider)(網絡服務提供商)、大學和數據中心用其監控和分析他們的防火牆、數據庫

入侵檢測系統、網頁服務和驗證等產生的日誌。安全

1、環境準備服務器

  》OSSEC服務器端:VMware下CentOS7系統網絡

  》OSSEC客戶端:VMware下KaliLinux 2.0系統ide

2、工具準備工具

  》安裝ossec 安裝過程當中所須要用到的管理庫以及軟件等

  》下載最新版的ossec即ossec-hids-2.8.3.tar.gz

  》下載圖形分析工具analogi

3、開始安裝

  1.  安裝管理庫及軟件 -->mysql服務。

    須要注意的是ossec須要用到mysql數據庫,而直接yum install mysql的話會報錯,緣由在於yum安裝庫裏

    沒有直接能夠用的安裝包,此時須要用到MariaDB了,MariaDB是MySQL社區開發的分支,也是一個加強型的替代品。

    具體安裝步驟請參考另外一篇文章CentOS7安裝mysql-server

  2. 安裝管理庫及軟件 -->wget gcc make httpd php php-mysql服務

[root@localhost ~]# yum install wget gcc make httpd php php-mysql sendmail

  3. 啓動httpd、mysql、sendmail服務,詳細啓動、查看過程請參考Ossec經常使用命令

  》 啓動httpd服務並查看狀態

[root@localhost ~]# systemctl start httpd
[root@localhost ~]# systemctl status httpd.service

  》 啓動mysql服務並查看狀態

[root@localhost ~]# systemctl start mariadb
[root@localhost ~]# systemctl status mariadb.service

  》 啓動sendmail服務並查看狀態

[root@localhost ~]# systemctl start sendmail.service 
[root@localhost ~]# systemctl status sendmail.service

   4. 建立數據庫以方便咱們下面的安裝配置,鏈接到本機的MySQ

[root@localhost ~]# mysql -uroot -p
Enter password: 
Welcome to the MariaDB monitor.  Commands end with ; or \g.
Your MariaDB connection id is 13
Server version: 5.5.47-MariaDB MariaDB Server

Copyright (c) 2000, 2015, Oracle, MariaDB Corporation Ab and others.

Type 'help;' or '\h' for help. Type '\c' to clear the current input statement.

MariaDB [(none)]> create database ossec;
Query OK, 1 row affected (0.00 sec)

MariaDB [(none)]> grant INSERT,SELECT,UPDATE,CREATE,DELETE,EXECUTE on ossec.* to ossec@localhost;
Query OK, 0 rows affected (0.04 sec)

MariaDB [(none)]> set password for ossec@localhost=PASSWORD('ossec');
Query OK, 0 rows affected (0.00 sec)

MariaDB [(none)]> flush privileges;
Query OK, 0 rows affected (0.00 sec)

MariaDB [(none)]> exit
Bye
[root@localhost ~]#

  5.  安裝ossec服務器端

  》官網下載最新版ossec即ossec-hids-2.8.3.tar.gz並解壓

wget https://bintray.com/artifact/download/ossec/ossec-hids/ossec-hids-2.8.3.tar.gz
tar zxf ossec-hids-2.8.3.tar.gz
cd ossec-hids-2.8.3/

  》爲了使OSSEC支持MySQL,安裝前執行make setdb命令

    看到最後一行[Info: Compiled with MySQL support.]的信息時說明能夠正常支持MySQL

[root@localhost ossec-hids-2.8.3]# cd src; make setdb; cd ..

Error: PostgreSQL client libraries not installed.

Info: Compiled with MySQL support.

  》執行install.sh腳本

  具體安裝的信息能夠參考另外一篇文章OSSEC 安裝執行./install.sh詳細信息,當看到以下信息時

  說明安裝服務器端已經成功。

 - 系統類型是  Redhat Linux.
 - 修改啓動腳本使 OSSEC HIDS 在系統啓動時自動運行 

 - 已正確完成系統配置.

 - 要啓動 OSSEC HIDS:
        /opt/ossec/bin/ossec-control start

 - 要中止 OSSEC HIDS:
        /opt/ossec/bin/ossec-control stop

 - 要查看或修改系統配置,請編輯  /opt/ossec/etc/ossec.conf



    感謝使用 OSSEC HIDS.
    若是您有任何疑問,建議或您找到任何bug,
    請經過 contact@ossec.net 或郵件列表 ossec-list@ossec.net 聯繫咱們.    
    ( http://www.ossec.net/en/mailing_lists.html ).

    您能夠在 http://www.ossec.net 得到更多信息

    --- 請按 ENTER 結束安裝 (下面可能有更多信息). ---

  6. 配置ossec服務端

  》執行下面命令啓用數據庫支持

[root@localhost ossec-hids-2.8.3]# /opt/ossec/bin/ossec-control enable database

  》導入MySQL表結構到MySQL中

[root@localhost ossec-hids-2.8.3]# mysql -uossec -p ossec < ./src/os_dbd/mysql.schema

  》修改部分配置文件的權限

[root@localhost ossec-hids-2.8.3]# chmod u+w /opt/ossec/etc/ossec.conf

  》編輯ossec.conf文件,在ossec_config中添加MySQL配置

    編輯ossec.conf文件,在ossec_config標籤內部添加以下MySQL配置

  <database_output>
    <hostname>192.168.218.136</hostname>
    <username>ossec</username>
    <password>ossec</password>
    <database>ossec</database>
    <type>mysql</type>
  </database_output>

  》因爲服務端安裝過程當中設置了支持接受遠程機器的syslog,因此須要對ossec.conf文件中的

    syslog部分進行配置,修改ossec.conf文件,將須要收集的網段全添加進去。配置後的ossec.conf

  <remote>
    <connection>syslog</connection>
    <allowed-ips>192.168.0.0/16</allowed-ips>
  </remote>

  7. 添加ossec客戶端並導出Key

[root@localhost ~]# /opt/ossec/bin/manage_agents ****************************************
* OSSEC HIDS v2.8.3 Agent manager.     *
* The following options are available: *
****************************************
   (A)dd an agent (A).
   (E)xtract key for an agent (E).
   (L)ist already added agents (L).
   (R)emove an agent (R).
   (Q)uit.
Choose your action: A,E,L,R or Q: A - Adding a new agent (use '\q' to return to the main menu).
  Please provide the following:
   * A name for the new agent: agent-kali * The IP Address of the new agent: 192.168.218.137
   * An ID for the new agent[001]: 
Agent information:
   ID:001
   Name:agent-kali
   IP Address:192.168.218.137

Confirm adding it?(y/n): y
Agent added.

客戶端Name爲agent-kali,ip地址爲192.168.218.137的記錄已經添加完畢,可是須要導出一個Key,

這個Key的做用是在客戶端中導入並使得服務端與客戶端達到聯動的效果。導出Key步驟以下

****************************************
* OSSEC HIDS v2.8.3 Agent manager.     *
* The following options are available: *
****************************************
   (A)dd an agent (A).
   (E)xtract key for an agent (E).
   (L)ist already added agents (L).
   (R)emove an agent (R).
   (Q)uit.
Choose your action: A,E,L,R or Q: E

Available agents: 
   ID: 001, Name: agent-kali, IP: 192.168.218.137
Provide the ID of the agent to extract the key (or '\q' to quit): 001

Agent key information for '001' is: 
MDAxIGFnZW50LWthbGkgMTkyLjE2OC4yMTguMTM3IDQ0NTg0MTQ5ZjMzODc2YzA4MDA0MTdlY2JkYWQ5ODc1NDRhZjc1ZmEyYWY0ZmFkMzU4OTBmMDYxMjE0ODA2ZTE=

** Press ENTER to return to the main menu.

導出的Key值:

MDAxIGFnZW50LWthbGkgMTkyLjE2OC4yMTguMTM3IDQ0NTg0MTQ5ZjMzODc2YzA4MDA0MTdlY2JkYWQ5ODc1NDRhZjc1ZmEyYWY0ZmFkMzU4OTBmMDYxMjE0ODA2ZTE=

至此,OSSEC服務端已經安裝結束而且導出了客戶端的Key,可是不安裝客戶端的狀況下直接啓動服務端會報錯,

客戶端的安裝請參考文章開源入侵檢測系統OSSEC搭建之二:客戶端安裝

相關文章
相關標籤/搜索
每日一句
    每一个你不满意的现在,都有一个你没有努力的曾经。
本站公眾號
   歡迎關注本站公眾號,獲取更多信息
聯繫我們 最近搜索 最新文章 沪ICP备13005482号-10 MyBatis教程 SQL 教程 MySQL教程 Java 教程 Thymeleaf 教程 Hibernate教程 Spring教程 Redis教程