全網最詳細的最新穩定OSSEC搭建部署（ossec-server（CentOS7.X）和ossec-agent（CentOS7.X）)（圖文詳解）

時間 2019-11-05

標籤全網詳細最新穩定 ossec 搭建部署 server centos7.x centos agent 圖文詳解欄目 CentOS 简体版

原文原文鏈接

很少說，直接上乾貨！php

前言css

　　寫在前面的話，網上可以找到一些關於ossec方面的資料，雖然不多，可是總比沒有強，不過在實際的使用過程當中仍是會碰到許多稀奇古怪的問題。整理整理個人使用過程，就當作一篇筆記吧。html

　　PS：本文填了不少坑。mysql

　　OSSEC是一款開源的基於主機的入侵檢測系統，能夠簡稱爲HIDS。它具有日誌分析，文件完整性檢查，策略監控，rootkit檢測，實時報警以及聯動響應等功能。它支持多種操做系統：Linux、Windows、MacOS、Solaris、HP-UX、AIX。屬於企業安全之利器。linux

　　詳細的介紹和文檔能夠參考官網網站：git

http://www.ossec.net/github

環境web

　　本文中的環境極其簡單，兩臺CentOS 7虛擬機。sql

　　關於CentOS7的安裝，這裏很少贅述。數據庫

CentOS 7的安裝詳解

　　服務端：

　　計算機名：ossec-server
　　IP地址：192.168.80.31

　　客戶端：

　　計算機名：ossec-agent
　　IP地址：192.168.80.32

　　第一步 : 前提環境準備（在ossec-server端）

　　因爲centos7自帶的SElinux會攔截，阻止太多的東西，避免麻煩，這裏咱們把SElinux關閉！

vim /etc/selinux/config

　　編輯/etc/selinux/config，找到SELINUX 行修改爲爲：SELINUX=disabled
　　而後從新啓動。

　　咱們須要開啓80端口，CentOS 7.0默認使用的是firewall做爲防火牆，這裏咱們把centos7的防火牆換成iptables
　　關閉firewall：

systemctl stop firewalld.service #中止firewall 
systemctl disable firewalld.service #禁止firewall開機啓動

　　安裝iptables防火牆

yum install iptables-services #安裝 
gedit /etc/sysconfig/iptables #編輯防火牆配置文件

　　原文件清空，複製粘貼保存：

# Firewall configuration written by system-config-firewall 
# Manual customization of this file is not recommended. 
*filter 
:INPUT ACCEPT [0:0] 
:FORWARD ACCEPT [0:0] 
:OUTPUT ACCEPT [0:0] 
-A INPUT -m state –state ESTABLISHED,RELATED -j ACCEPT 
-A INPUT -p icmp -j ACCEPT 
-A INPUT -i lo -j ACCEPT 
-A INPUT -m state –state NEW -m tcp -p tcp –dport 22 -j ACCEPT 
-A INPUT -m state –state NEW -m tcp -p tcp –dport 80 -j ACCEPT 
-A INPUT -m state –state NEW -m tcp -p tcp –dport 3306 -j ACCEPT 
-A INPUT -m state –state NEW -m udp -p udp –dport 514 -j ACCEPT 
-A INPUT -m state –state NEW -m udp -p udp –dport 1514 -j ACCEPT 
-A INPUT -j REJECT –reject-with icmp-host-prohibited 
-A FORWARD -j REJECT –reject-with icmp-host-prohibited 
COMMIT

　　由於ossec通訊是用udp 514,1514端口（能夠用命令：# netstat -unlp|grep ossec 查看）因此加了下面這兩句

-A INPUT -m state –state NEW -m udp -p udp –dport 514 -j ACCEPT 
-A INPUT -m state –state NEW -m udp -p udp –dport 1514 -j ACCEPT

　　好了，iptables配置好了，如今，咱們開啓iptables:

systemctl restart iptables.service #最後重啓防火牆使配置生效 
systemctl enable iptables.service #設置防火牆開機啓動

　　防火牆開啓成功，咱們來接着安裝一些必要的工具：

　　首先咱們安裝須要用到的關聯庫和軟件，因爲咱們最終是須要把日誌導入到MySQL中進行分析，以及須要經過web程序對報警結果進行展現，同時須要把本機當作SMTP，因此須要在本機安裝MySQL、Apache和sendmail服務。在當前的終端中執行以下命令：

[root@ossec-server ~] yum install wget gcc make mysql mysql-server mysql-devel httpd php php-mysql sendmail

　　這裏

　　須要注意的是ossec須要用到mysql數據庫，而直接yum install mysql的話會報錯，緣由在於yum安裝庫裏

　　　　沒有直接能夠用的安裝包，此時須要用到MariaDB了，MariaDB是MySQL社區開發的分支，也是一個加強型的替代品。

　　　　具體安裝步驟請參考另外一篇文章CentOS7安裝mysql-server

啓動httpd、mysql、sendmail服務

[root@ossec-server ~] /etc/init.d/httpd start

[root@ossec-server ~] /etc/init.d/mysqld start

[root@ossec-server ~] /etc/init.d/sendmail start

　　或者以下這樣來啓動，也是能夠的：

[root@ossec-server ~] for i in {httpd,mysqld,sendmail}; do service $i restart; done

　　下面建立數據庫以方便咱們下面的安裝配置，鏈接到本機的MySQL，而後執行以下命令：

[root@ossec-server ~] mysql -uroot -p
mysql> create database ossec;
mysql> grant INSERT,SELECT,UPDATE,CREATE,DELETE,EXECUTE on ossec.* to ossec@localhost;
mysql> set password for ossec@localhost =PASSWORD('ossec');
mysql> flush privileges;
mysql> exit

　　大概的環境已經準備的差很少了。

上述語句的意思是新增一個用戶ossec密碼爲空，讓他只能夠在localhost上登陸，並能夠對數據庫ossec的全部表進行插入、查詢、修改、插入、刪除的操做

　　第二步：服務器ossec-server安裝

　　首先經過官網的連接下載當前的最新穩定版本ossec-hids-2.8.1.tar.gz 的服務端包，同時解壓。

[root@ossec-server ~] # wget http://www.ossec.net/files/ossec-hids-2.8.1.tar.gz
[root@ossec-server ~] # tar zxf ossec-hids-2.8.1.tar.gz
[root@ossec-server ~] # cd ossec-hids-2.8.1

　　爲了使OSSEC支持MySQL，須要在安裝前執行make setdb命令，以下

[root@ossec-server ~] # cd src; make setdb; cd ..

　　看到以下的信息說明能夠正常支持MySQL：

Info: Compiled with MySQL support.

　　下面進入安裝步驟，執行install.sh腳本，同時按照下面的信息進行填寫，紅色部分是咱們須要輸入的，其他部分按回車繼續便可：

[root@ossec-server  ossec-hids-2.8.1]# ./install.sh ** Para instalação em português, escolha [br].
  ** 要使用中文進行安裝, 請選擇 [cn].
  ** Fur eine deutsche Installation wohlen Sie [de].
  ** Για εγκατάσταση στα Ελληνικά, επιλέξτε [el].
  ** For installation in English, choose [en].
  ** Para instalar en Español , eliga [es].
  ** Pour une installation en français, choisissez [fr]
  ** A Magyar nyelvű telepítéshez válassza [hu].
  ** Per l'installazione in Italiano, scegli [it].
  ** 日本語でインストールします．選択して下さい．[jp].
  ** Voor installatie in het Nederlands, kies [nl].
  ** Aby instalować w języku Polskim, wybierz [pl][/pl].
  ** Для инструкций по установке на русском ,введите [ru].
  ** Za instalaciju na srpskom, izaberi [sr].
  ** Türkçe kurulum için seçin [tr].
  (en/br/cn/de/el/es/fr/hu/it/jp/nl/pl/ru/sr/tr) [en]: cn
 OSSEC HIDS v2.8.1 安裝腳本 - http://www.ossec.net

　　您將開始 OSSEC HIDS 的安裝.
　　請確認在您的機器上已經正確安裝了 C 編譯器.
　　若是您有任何疑問或建議,請給發郵件.

　　1- 您但願哪種安裝 (server, agent, local or help)? server　

選擇了 Server 類型的安裝.

　　2- 正在初始化安裝環境.

　　請選擇 OSSEC HIDS 的安裝路徑 [/var/ossec]: /var/ossec

OSSEC HIDS 將安裝在 /var/ossec .

　　3- 正在配置 OSSEC HIDS.

　　　　3.1- 您但願收到e-mail告警嗎? (y/n) [y]: y

　　　　請輸入您的 e-mail 地址? ****@***.com

　　這裏，我是輸入我本身的163郵箱。你們自行去選擇

咱們找到您的 SMTP 服務器爲: alt1.gmail-smtp-in.l.google.com.
您但願使用它嗎? (y/n) [y]: n
請輸入您的 SMTP 服務器IP或主機名 ? 127.0.0.1

3.2- 您但願運行系統完整性檢測模塊嗎? (y/n) [y]: y
系統完整性檢測模塊將被部署.

3.3- 您但願運行 rootkit檢測嗎? (y/n) [y]: y
rootkit檢測將被部署.

3.4- 關聯響應容許您在分析已接收事件的基礎上執行一個
已定義的命令.
例如,你能夠阻止某個IP地址的訪問或禁止某個用戶的訪問權限.
更多的信息,您能夠訪問:

http://www.ossec.net/en/manual.html#active-response
您但願開啓聯動(active response)功能嗎? (y/n) [y]: y
- 關聯響應已開啓
默認狀況下, 咱們開啓了主機拒絕和防火牆拒絕兩種響應.
第一種狀況將添加一個主機到 /etc/hosts.deny.
第二種狀況將在iptables(linux)或ipfilter(Solaris,
FreeBSD 或 NetBSD）中拒絕該主機的訪問.
該功能能夠用以阻止 SSHD 暴力攻擊, 端口掃描和其餘
一些形式的攻擊. 一樣你也能夠將他們添加到其餘地方,
例如將他們添加爲 snort 的事件.
您但願開啓防火牆聯動(firewall-drop)功能嗎? (y/n) [y]: y
- 防火牆聯動(firewall-drop)當事件級別 >= 6 時被啓動
聯動功能默認的白名單是:
- 8.8.8.8
您但願添加更多的IP到白名單嗎? (y/n)? [n]: y
請輸入IP (用空格進行分隔): 192.168.80.31

3.5- 您但願接收遠程機器syslog嗎 (port 514 udp)? (y/n) [y]: y
遠程機器syslog將被接收.

3.6- 設置配置文件以分析一下日誌:
-- /var/log/messages
-- /var/log/secure
-- /var/log/maillog

-若是你但願監控其餘文件, 只須要在配置文件ossec.conf中
添加新的一項.
任何關於配置的疑問您均可以在 http://www.ossec.net 找到答案.

--- 按 ENTER 以繼續 ---

5- 正在安裝系統
- 正在運行Makefile
INFO: Little endian set.
…………省略編譯輸出…………

系統類型是 Redhat Linux.
- 修改啓動腳本使 OSSEC HIDS 在系統啓動時自動運行
- 已正確完成系統配置.
- 要啓動 OSSEC HIDS:
  /var/ossec/bin/ossec-control start
- 要中止 OSSEC HIDS:
  /var/ossec/bin/ossec-control stop
- 要查看或修改系統配置,請編輯 /var/ossec/etc/ossec.conf
感謝使用 OSSEC HIDS.
若是您有任何疑問,建議或您找到任何bug,
[email protected] 或郵件列表 [email protected] 聯繫咱們.
( http://www.ossec.net/en/mailing_lists.html ).

您能夠在　http://www.ossec.net 得到更多信息

--- 請按　ENTER 結束安裝 (下面可能有更多信息). ---

直到碰到上面內容，說明安裝完成。

　　第三步：服務器ossec-server配置

　　上面只是安裝好了OSSEC服務端，下面則是爲了配置服務端，使其工做正常。執行下面命令啓用數據庫支持：

[root@ossec-server ossec-hids-2.8.1]# /var/ossec/bin/ossec-control enable database

　　而後導入MySQL表結構到MySQL中：

[root@ossec-server ossec-hids-2.8.1]# mysql -uossec -p ossec < ./src/os_dbd/mysql.schema

　　修改部分配置文件的權限，不然會啓動服務失敗：

[root@ossec-server ossec-hids-2.8.1]# chmod u+w /var/ossec/etc/ossec.conf

　　而後咱們編輯ossec.conf文件，在ossec_config中添加MySQL配置：

<ossec_config>
    <database_output>
        <hostname>192.168.80.31</hostname>
        <username>ossec</username>
        <password>ossec</password>
        <database>ossec</database>
        <type>mysql</type>
    </database_output>
</ossec_config>

　　因爲咱們在前面的安裝過程當中支持接受遠程機器的syslog，因此咱們還須要對ossec.conf文件中的syslog部分進行配置，修改ossec.conf文件，按照下面的內容進行修改，把咱們網段能夠全添加進去：

  <remote>
    <connection>syslog</connection>
    <allowed-ips>192.168.0.0/16</allowed-ips>
  </remote>

　　在實際的實驗過程當中啓動ossec服務端必須先添加一個客戶端，不然直接啓動服務端是會失敗的，經過以下命令查看日誌會發現以下錯誤：

[[root@ossec-server logs]# cat /var/ossec/logs/ossec.log

2018/03/5 23:43:15 ossec-analysisd(1210): ERROR: Queue '/queue/alerts/ar' not accessible: 'Connection refused'.
2018/03/5 23:43:15 ossec-analysisd(1301): ERROR: Unable to connect to active response queue.

　　在服務器上添加客戶端，執行以下命令，按照提示進行輸入，紅色部分是咱們輸入的：

[[root@ossec-server logs]# /var/ossec/bin/manage_agents

   ****************************************
   * OSSEC HIDS v2.8.1 Agent manager.     *
   * The following options are available: *
   ****************************************
      (A)dd an agent (A).
      (E)xtract key for an agent (E).
      (L)ist already added agents (L).
      (R)emove an agent (R).
      (Q)uit.

Choose your action: A,E,L,R or Q: A

Adding a new agent (use '\q' to return to the main menu).
Please provide the following:
- A name for the new agent: ossec-agent
- The IP Address of the new agent: 192.168.80.32
- An ID for the new agent[001]: 001
  Agent information:
  ID:001
  Name:ossec-agent
  IP Address:192.168.80.32
Confirm adding it?(y/n): y
Agent added.

　　注意、須要將key記錄到文本中，後面須要用到。

　　而後程序會從新進入到第一次的界面，以下，咱們導出剛纔添加的那個agent的key，用於後面的客戶端鏈接到服務端：

****************************************
   * OSSEC HIDS v2.8.1 Agent manager.     *
   * The following options are available: *
   ****************************************
      (A)dd an agent (A).
      (E)xtract key for an agent (E).
      (L)ist already added agents (L).
      (R)emove an agent (R).
      (Q)uit.

Choose your action: A,E,L,R or Q: E

　　Available agents:
　　ID: 001, Name: ossec-agent, IP: 192.168.100.104
　　Provide the ID of the agent to extract the key (or '\q' to quit): 001

　　Agent key information for '001' is:

MDAxIG9zc2VjLWFnZW50IDE5Mi4xNjguODAuMzIgN2MyZTMyMzYwZTBhNTVmNDVhNTJlMTE5MjRjNjRiNjZjOTdhYjlmN2Q2MjVmYzY4MGFiZjNmZGJmOGIwY2JlMw

　　** Press ENTER to return to the main menu.

　　到如今就能夠啓動咱們的ossec服務端了。

[root@ossec-server ~] # /var/ossec/bin/ossec-control start

　　或者執行

[root@ossec-server ~] # /etc/init.d/ossec start

　　第四步：客戶端ossec-agent安裝

　　因爲咱們自己客戶端也是Linux服務器，而ossec的服務端和客戶端是同一個安裝包，因此在客戶端上下載安裝包，而且解壓安裝，以下。

[root@ossec-agent ~]# wget http://www.ossec.net/files/ossec-hids-2.8.1.tar.gz
[root@ossec-agent ~]# tar zxf ossec-hids-2.8.1.tar.gz
[root@ossec-agent ~]# cd ossec-hids-2.8.1
[root@ossec-agent ~]# ./install.sh

　　** Para instalação em português, escolha [br].
　　** 要使用中文進行安裝, 請選擇 [cn].
　　** Fur eine deutsche Installation wohlen Sie [de].
　　** Για εγκατάσταση στα Ελληνικά, επιλέξτε [el].
　　** For installation in English, choose [en].
　　** Para instalar en Español , eliga [es].
　　** Pour une installation en français, choisissez [fr]
　　** A Magyar nyelvű telepítéshez válassza [hu].
　　** Per l'installazione in Italiano, scegli [it].
　　** 日本語でインストールします．選択して下さい．[jp].
　　** Voor installatie in het Nederlands, kies [nl].
　　** Aby instalować w języku Polskim, wybierz [pl][/pl].
　　** Для инструкций по установке на русском ,введите [ru].
　　** Za instalaciju na srpskom, izaberi [sr].
　　** Türkçe kurulum için seçin [tr].
　　(en/br/cn/de/el/es/fr/hu/it/jp/nl/pl/ru/sr/tr) [en]: cn
　　OSSEC HIDS v2.8.1 安裝腳本 - http://www.ossec.net

　　您將開始 OSSEC HIDS 的安裝.
　　請確認在您的機器上已經正確安裝了 C 編譯器.

　　若是您有任何疑問或建議,請給發郵件.

1- 您但願哪種安裝 (server, agent, local or help)? agent

選擇了 Agent(client) 類型的安裝.

2- 正在初始化安裝環境.

請選擇 OSSEC HIDS 的安裝路徑 [/var/ossec]: /var/ossec
- OSSEC HIDS 將安裝在 /opt/ossec .

3- 正在配置 OSSEC HIDS.

3.1- 請輸入 OSSEC HIDS 服務器的IP地址或主機名: 192.168.80.31

添加服務器IP 192.168.100.103

3.2- 您但願運行系統完整性檢測模塊嗎? (y/n) [y]: y
系統完整性檢測模塊將被部署.

3.3- 您但願運行 rootkit檢測嗎? (y/n) [y]: y
rootkit檢測將被部署.

3.4 - 您但願開啓聯動(active response)功能嗎? (y/n) [y]: y

3.5- 設置配置文件以分析一下日誌:
-- /var/log/messages
-- /var/log/secure
-- /var/log/xferlog
-- /var/log/maillog
-- /var/log/httpd/error_log (apache log)
-- /var/log/httpd/access_log (apache log)

-若是你但願監控其餘文件, 只須要在配置文件ossec.conf中
添加新的一項.
任何關於配置的疑問您均可以在 http://www.ossec.net 找到答案.

--- 按 ENTER 以繼續 ---

5- 正在安裝系統
- 正在運行Makefile
INFO: Little endian set.

…………省略編譯輸出…………

系統類型是 Redhat Linux.
修改啓動腳本使 OSSEC HIDS 在系統啓動時自動運行
已正確完成系統配置.
要啓動 OSSEC HIDS:
/var/ossec/bin/ossec-control start
要中止 OSSEC HIDS:
/var/ossec/bin/ossec-control stop
要查看或修改系統配置,請編輯 /var/ossec/etc/ossec.conf

感謝使用 OSSEC HIDS.
若是您有任何疑問,建議或您找到任何bug,
[email protected] 或郵件列表 [email protected] 聯繫咱們.
( http://www.ossec.net/en/mailing_lists.html ).

您能夠在　http://www.ossec.net 得到更多信息

--- 請按　ENTER 結束安裝 (下面可能有更多信息). ---
您必須首先將該代理添加到服務器端以使他們可以相互通訊.
這樣作了之後,您能夠運行'manage_agents'工具導入
服務器端產生的認證密匙.
/opt/ossec/bin/manage_agents

詳細信息請參考:

http://www.ossec.net/en/manual.html#ma

　　第五步：客戶端ossec-agent配置

　　其實配置ossec客戶端就是把剛纔由服務端生成的key，在客戶端中導入，執行以下命令

[root@ossec-agent ossec-hids-2.8.1]# /var/ossec/bin/manage_agents

***************************************
* OSSEC HIDS v2.8.1 Agent manager.     *
* The following options are available: *
****************************************
   (I)mport key from the server (I).
   (Q)uit.

Choose your action: I or Q: I

Provide the Key generated by the server.
The best approach is to cut and paste it.
*** OBS: Do not include spaces or new lines.

　　Paste it here (or '\q' to quit): MDAxIG9zc2VjLWFnZW50IDE5Mi4xNjguODAuMzIgN2MyZTMyMzYwZTBhNTVmNDVhNTJlMTE5MjRjNjRiNjZjOTdhYjlmN2Q2MjVmYzY4MGFiZjNmZGJmOGIwY2JlMw

　　Agent information:
　　ID:001
　　Name:ossec-agent
　　IP Address: 192.168.80.32

　　Confirm adding it?(y/n): y
　　　　Added.
　　** Press ENTER to return to the main menu.

　　最後啓動ossec-agent客戶端

[root@ossec-agent ossec-hids-2.8.1]# /var/ossec/bin/ossec-control start

　　或者執行

[root@ossec-agent ossec-hids-2.8.1]# /etc/init.d/ossec start

　　第六步：爲ossec-server安裝第三方的web界面（analogi）

　　上面咱們安裝了ossec的服務端，而且爲ossec添加了一個客戶端，很是簡單的一個環境，環境是搭建好了，但是目前這個環境若是咱們要分析ossec的報警信息就太麻煩了，因此咱們安裝第三方的 web界面用來顯示報警信息。

[root@ossec-server ~]# wget https://github.com/ECSC/analogi/archive/master.zip
[root@ossec-server ~]# unzip master
[root@ossec-server ~]# mv analogi-master/ /var/www/html/analogi
[root@ossec-server ~]# cd /var/www/html/
[root@ossec-serverhtml]# chown -R apache.apache analogi/
[root@ossec-server html]# cd analogi/
[root@ossec-server analogi]# cp db_ossec.php.new db_ossec.php

　　編輯db_ossec.php文件，修改MySQL的配置信息:

define ('DB_USER_O', 'ossec');
define ('DB_PASSWORD_O', 'ossec');
define ('DB_HOST_O', '127.0.0.1');
define ('DB_NAME_O', 'ossec');

　　修改 apache 配置，增長虛擬目錄，

[root@ossec-server ~]# vim /etc/httpd/conf.d/analogi.conf

　　添加以下內容

Alias /analogi /var/www/html/analogi
<Directory /var/www/html/analogi>
    Order deny,allow
    Deny from all
    Allow from 192.168.0.0/16
</Directory>

　　而後從新啓動Apache

[root@ossec-server ~]# /etc/init.d/httpd restart

[root@ossec-server html]# service httpd status
Redirecting to /bin/systemctl status httpd.service
● httpd.service - The Apache HTTP Server
   Loaded: loaded (/usr/lib/systemd/system/httpd.service; disabled; vendor preset: disabled)
   Active: active (running) since Tue 2018-03-06 05:47:09 CST; 23s ago
     Docs: man:httpd(8)
           man:apachectl(8)
  Process: 3873 ExecStop=/bin/kill -WINCH ${MAINPID} (code=exited, status=0/SUCCESS)
 Main PID: 3878 (httpd)
   Status: "Total requests: 21; Current requests/sec: 0; Current traffic:   0 B/sec"
   CGroup: /system.slice/httpd.service
           ├─3878 /usr/sbin/httpd -DFOREGROUND
           ├─3880 /usr/sbin/httpd -DFOREGROUND
           ├─3881 /usr/sbin/httpd -DFOREGROUND
           ├─3882 /usr/sbin/httpd -DFOREGROUND
           ├─3883 /usr/sbin/httpd -DFOREGROUND
           ├─3884 /usr/sbin/httpd -DFOREGROUND
           └─3889 /usr/sbin/httpd -DFOREGROUND

Mar 06 05:47:08 ossec-server systemd[1]: Starting The Apache HTTP Server...
Mar 06 05:47:09 ossec-server httpd[3878]: AH00558: httpd: Could not reliably determin...ge
Mar 06 05:47:09 ossec-server systemd[1]: Started The Apache HTTP Server.
Hint: Some lines were ellipsized, use -l to show in full.
[root@ossec-server html]#

　　若是，你這裏起不來，則就要把apche的問題解決就行了，很簡單的。

　　注意事項：若是訪問http://192.168.80.31/analogi/時老是拋錯403請嘗試如下兩種方法調試：

[root@localhost conf.d]# systemctl stop firewalld.service

[root@localhost httpd]# setenforce 0

　　至此，OSSEC的安裝與調試已所有結束。

　　而後訪問就能夠了。

　　第七步：爲ossec-server安裝第三方的web界面（ossec-wui )

https://github.com/ossec/ossec-wui/releases

[root@ossec-server html]# pwd
/var/www/html
[root@ossec-server html]# ls
analogi  ossec-wui-0.9.zip
[root@ossec-server html]# unzip ossec-wui-master.zip
unzip:  cannot find or open ossec-wui-master.zip, ossec-wui-master.zip.zip or ossec-wui-master.zip.ZIP.
[root@ossec-server html]# ll
total 184
drwxr-xr-x 5 apache apache   4096 Mar  6 05:48 analogi
-rw-r--r-- 1 root   root   182791 Mar  6 10:40 ossec-wui-0.9.zip
[root@ossec-server html]# yum -y install unzip

[root@ossec-server html]# unzip ossec-wui-master.zip

　　若是你這裏，也是這樣的狀況，則

linux下解壓unzip報錯「cannot find zipfile directory……」

http://www.vuln.cn/8532

　　固然，你這裏，也能夠是tar.gz

[root@ossec-server html]# pwd
/var/www/html
[root@ossec-server html]# ls
analogi  ossec-wui-0.9.tar.gz
[root@ossec-server html]# tar -zxvf ossec-wui-0.9.tar.gz

[root@ossec-server html]# pwd
/var/www/html
[root@ossec-server html]# ls
analogi  ossec-wui-0.9  ossec-wui-0.9.tar.gz
[root@ossec-server html]# rm ossec-wui-0.9.tar.gz 
rm: remove regular file ‘ossec-wui-0.9.tar.gz’? y
[root@ossec-server html]# mv ossec-wui-0.9/ ossec
[root@ossec-server html]# ls
analogi  ossec
[root@ossec-server html]# cd ossec/
[root@ossec-server ossec]# ls
CONTRIB  htaccess_def.txt  index.php  lib      ossec_conf.php  README.search  site
css      img               js         LICENSE  README          setup.sh
[root@ossec-server ossec]# ./setup.sh 
Setting up ossec ui...

Username: ossec
New password: 
Re-type new password: 
Adding password for user ossec
Enter your web server user name (e.g. apache, www, nobody, www-data, ...)
apache
You must restart your web server after this setup is done.

Setup completed successfully.
[root@ossec-server ossec]#

　　再

[root@ossec-server ossec]# vim /etc/httpd/conf.d/ossec.conf

保存退出。
chown apache:apache *
service httpd restart

　　最後

　　上面是整個安裝和配置步驟，要想讓ossec發揮更大的做用，還須要針對實際的環境進行配置修改和規則的調整和編寫。在之後的咱們會更多關注OSSEC在實際應用中的經驗。

　　後續將進一步剖析Ossec入侵檢測系統的規則、數據日誌.....

歡迎你們，加入個人微信公衆號：大數據躺過的坑人工智能躺過的坑

同時，你們能夠關注個人我的博客：

http://www.cnblogs.com/zlslch/ 和 http://www.cnblogs.com/lchzls/ http://www.cnblogs.com/sunnyDream/

詳情請見：http://www.cnblogs.com/zlslch/p/7473861.html

　　人生苦短，我願分享。本公衆號將秉持活到老學到老學習無休止的交流分享開源精神，匯聚於互聯網和我的學習工做的精華乾貨知識，一切來於互聯網，反饋回互聯網。
　　目前研究領域：大數據、機器學習、深度學習、人工智能、數據挖掘、數據分析。語言涉及：Java、Scala、Python、Shell、Linux等。同時還涉及日常所使用的手機、電腦和互聯網上的使用技巧、問題和實用軟件。只要你一直關注和呆在羣裏，天天必須有收穫

對應本平臺的討論和答疑QQ羣：大數據和人工智能躺過的坑（總羣）（161156071）

相關標籤/搜索

全網最詳細的最新穩定OSSEC搭建部署（ossec-server（CentOS7.X）和ossec-agent（CentOS7.X）)（圖文詳解）

CentOS 7的安裝詳解

第一步 : 前提環境準備（在ossec-server端）

第二步 ： 服務器ossec-server安裝

第三步 ： 服務器ossec-server配置

第四步 ： 客戶端ossec-agent安裝

第五步 ： 客戶端ossec-agent配置

第六步 ： 爲ossec-server安裝第三方的web界面（analogi）

第七步 ： 爲ossec-server安裝第三方的web界面（ossec-wui )

linux下解壓unzip報錯「cannot find zipfile directory……」

最後

　　第一步 : 前提環境準備（在ossec-server端）

　　第二步：服務器ossec-server安裝

　　第三步：服務器ossec-server配置

　　第四步：客戶端ossec-agent安裝

　　第五步：客戶端ossec-agent配置

　　第六步：爲ossec-server安裝第三方的web界面（analogi）

　　第七步：爲ossec-server安裝第三方的web界面（ossec-wui )

　　最後