OSSEC***檢測系統的安裝部署
前言
OSSEC是一款開源的多平臺的***檢測系統,能夠運行於Windows, Linux, OpenBSD/FreeBSD, 以及 MacOS等操做系統中。包括了日誌分析,全面檢測,root-kit檢測。做爲一款HIDS,OSSEC應該被安裝在一臺實施監控的系統中。另外有時候不須要安裝徹底版本得OSSEC,若是有多臺電腦都安裝了OSSEC,那麼就能夠採用C/S模式來運行。客戶機經過客戶端程序將數據發回到服務器端進行分析。php
OSSEC服務端IP:192.168.1.107html
OSSEC Agent IP:192.168.1.54mysql
1、OSSEC環境安裝
1.一、安裝基礎環境
[root@tshare365 ~]# yum install wget gcc make mysql mysql-server mysql-devel httpd php php-mysql sendmail
1.二、啓動服務
[root@tshare365 ~]# for i in {httpd,mysqld,sendmail};do service $i restart;done
1.三、數據庫的受權
[root@tshare365 ~]# mysql
mysql> create database ossec;
Query OK, 1 row affected (0.00 sec)
mysql> grant INSERT,SELECT,UPDATE,CREATE,DELETE,EXECUTE on ossec.* to ossec@localhost;
Query OK, 0 rows affected (0.00 sec)
mysql> set password for ossec@localhost=PASSWORD('ossec');
Query OK, 0 rows affected (0.00 sec)
mysql> flush privileges
-> ;
Query OK, 0 rows affected (0.00 sec)
mysql> exit
Bye
[root@tshare365 ~]#
3、OSSEC服務端安裝配置
3.一、安裝OSSEC
[root@tshare365 ~]# wget [root@tshare365 ~]# tar xf ossec-hids-2.8.1.tar.gz [root@tshare365 ~]# cd ossec-hids-2.8.1 [root@tshare365 ossec-hids-2.8.1]# cd src/ [root@tshare365 src]# make setdb; cd .. Error: PostgreSQL client libraries not installed. Info: Compiled with MySQL support.
注意: 只要是出現 Mysql support 就說明是支持Mysql的linux
[root@tshare365 ossec-hids-2.8.1]# ./install.sh 您將開始 OSSEC HIDS 的安裝. 請確認在您的機器上已經正確安裝了 C 編譯器. 若是您有任何疑問或建議,請給 dcid@ossec.net (或 daniel.cid@gmail.com) 發郵件. - 系統類型: Linux tshare365 2.6.32-431.el6.x86_64 - 用戶: root - 主機: tshare365 1- 您但願哪種安裝 (server, agent, local or help)? server - 選擇了 Server 類型的安裝. 2- 正在初始化安裝環境. - 請選擇 OSSEC HIDS 的安裝路徑 [/var/ossec]: /user/local/ossec - OSSEC HIDS 將安裝在 /user/local/ossec . 3- 正在配置 OSSEC HIDS. 3.1- 您但願收到e-mail告警嗎? (y/n) [y]: y - 請輸入您的 e-mail 地址? 903914685@qq.com - 請輸入您的 SMTP 服務器IP或主機名 ? 127.0.0.1 3.2- 您但願運行系統完整性檢測模塊嗎? (y/n) [y]: y - 系統完整性檢測模塊將被部署. 3.3- 您但願運行 rootkit檢測嗎? (y/n) [y]: y - rootkit檢測將被部署. 3.4- 關聯響應容許您在分析已接收事件的基礎上執行一個 已定義的命令. 例如,你能夠阻止某個IP地址的訪問或禁止某個用戶的訪問權限. 更多的信息,您能夠訪問: http://www.ossec.net/en/manual.html#active-response - 您但願開啓聯動(active response)功能嗎? (y/n) [y]: y - 關聯響應已開啓 - 默認狀況下, 咱們開啓了主機拒絕和防火牆拒絕兩種響應. 第一種狀況將添加一個主機到 /etc/hosts.deny. 第二種狀況將在iptables(linux)或ipfilter(Solaris, FreeBSD 或 NetBSD)中拒絕該主機的訪問. - 該功能能夠用以阻止 SSHD 暴力***, 端口掃描和其餘 一些形式的***. 一樣你也能夠將他們添加到其餘地方, 例如將他們添加爲 snort 的事件. - 您但願開啓防火牆聯動(firewall-drop)功能嗎? (y/n) [y]: y - 防火牆聯動(firewall-drop)當事件級別 >= 6 時被啓動 - 聯動功能默認的白名單是: - 202.99.166.4 - 202.99.160.68 - 您但願添加更多的IP到白名單嗎? (y/n)? [n]: y - 請輸入IP (用空格進行分隔): 8.8.8.8,4.4.4.4 3.5- 您但願接收遠程機器syslog嗎 (port 514 udp)? (y/n) [y]: y - 遠程機器syslog將被接收. 3.6- 設置配置文件以分析一下日誌: -- /var/log/messages -- /var/log/secure -- /var/log/maillog -- /var/log/httpd/error_log (apache log) -- /var/log/httpd/access_log (apache log) -若是你但願監控其餘文件, 只須要在配置文件ossec.conf中 添加新的一項. 任何關於配置的疑問您均可以在 http://www.ossec.net 找到答案. --- 按 ENTER 以繼續 --- ..........編譯安裝過程省略...... - 系統類型是 Redhat Linux. - 修改啓動腳本使 OSSEC HIDS 在系統啓動時自動運行 - 已正確完成系統配置. - 要啓動 OSSEC HIDS: /user/local/ossec/bin/ossec-control start - 要中止 OSSEC HIDS: /user/local/ossec/bin/ossec-control stop - 要查看或修改系統配置,請編輯 /user/local/ossec/etc/ossec.conf
3.二、啓用數據庫支持並導入數據
[root@tshare365 ossec-hids-2.8.1]# /user/local/ossec/bin/ossec-control enable database
[root@tshare365 ossec-hids-2.8.1]# mysql -uossec -p ossec < ./src/os_dbd/mysql.schema
3.三、修改部分配置文件的權限
[root@tshare365 ossec-hids-2.8.1]# chmod u+w /user/local/ossec/etc/ossec.conf
3.四、修改/user/local/ossec/etc/ossec.conf添加Mysql信息
<ossec_config> <database_output> <hostname>127.0.0.1</hostname> <username>ossec</username> <password>ossec</password> <database>ossec</database> <type>mysql</type> </database_output> </ossec_config>
3.五、接收遠端syslog信息
<remote> <connection>syslog</connection> <allowed-ips>192.168.0.0/16</allowed-ips> </remote>
3.六、配置Agent信息
[root@tshare365 ossec-hids-2.8.1]# /user/local/ossec/bin/manage_agents **************************************** * OSSEC HIDS v2.8 Agent manager. * * The following options are available: * **************************************** (A)dd an agent (A). (E)xtract key for an agent (E). (L)ist already added agents (L). (R)emove an agent (R). (Q)uit. Choose your action: A,E,L,R or Q: A - Adding a new agent (use '\q' to return to the main menu). Please provide the following: * A name for the new agent: ossec-agent * The IP Address of the new agent: 192.168.1.54 * An ID for the new agent[001]: Agent information: ID:001 Name:ossec-agent IP Address:192.168.1.54 Confirm adding it?(y/n): y Agent added. **************************************** * OSSEC HIDS v2.8 Agent manager. * * The following options are available: * **************************************** (A)dd an agent (A). (E)xtract key for an agent (E). (L)ist already added agents (L). (R)emove an agent (R). (Q)uit. Choose your action: A,E,L,R or Q: E Available agents: ID: 001, Name: ossec-agent, IP: 192.168.1.54 Provide the ID of the agent to extract the key (or '\q' to quit): 001 Agent key information for '001' is: MDAxIG9zc2VjLWFnZW50IDE5Mi4xNjguMS41NCA5Nzc1N2I5NDk3ZDcwNTRkMGZkNzZhYTE0MzE4ZWZlOWNjZmNiZjM5NzhhYTVkMDA1NjE5OWE2ZDc5ZGRmNjgw ** Press ENTER to return to the main menu.
注意、須要將key記錄到文本中,後面須要用到web
3.七、啓動OSSEC服務
[root@tshare365 ossec-hids-2.8.1]# /user/local/ossec/bin/ossec-control restart
4、安裝OSSEC客戶端
4.一、安裝Agent端
[root@ossec-agent ~]# tar xf ossec-hids-2.8.1.tar.gz [root@ossec-agent ~]# cd ossec-hids-2.8.1 [root@ossec-agent ossec-hids-2.8.1]# ./install.sh which: no host in (/usr/local/mysql/bin:/usr/local/sbin:/usr/local/bin:/sbin:/bin:/usr/sbin:/usr/bin:/root/bin:/root/bin) ** Para instalao em português, escolha [br]. ** 要使用中文進行安裝, 請選擇 [cn]. ** Fur eine deutsche Installation wohlen Sie [de]. ** Για εγκατσταση στα Ελληνικ, επιλξτε [el]. ** For installation in English, choose [en]. ** Para instalar en Espaol , eliga [es]. ** Pour une installation en franais, choisissez [fr] ** A Magyar nyelv telepítéshez válassza [hu]. ** Per l'installazione in Italiano, scegli [it]. ** 日本語でインストールします.選択して下さい.[jp]. ** Voor installatie in het Nederlands, kies [nl]. ** Aby instalowa w jzyku Polskim, wybierz [pl]. ** Для инструкций по установке на русском ,введите [ru]. ** Za instalaciju na srpskom, izaberi [sr]. ** Türke kurulum iin sein [tr]. (en/br/cn/de/el/es/fr/hu/it/jp/nl/pl/ru/sr/tr) [en]: cn which: no host in (/usr/local/mysql/bin:/usr/local/sbin:/usr/local/bin:/sbin:/bin:/usr/sbin:/usr/bin:/root/bin:/root/bin) OSSEC HIDS v2.8 安裝腳本 - http://www.ossec.net 您將開始 OSSEC HIDS 的安裝. 請確認在您的機器上已經正確安裝了 C 編譯器. 若是您有任何疑問或建議,請給 dcid@ossec.net (或 daniel.cid@gmail.com) 發郵件. - 系統類型: Linux ossec-agent 2.6.32-431.el6.x86_64 - 用戶: root - 主機: ossec-agent -- 按 ENTER 繼續或 Ctrl-C 退出. -- 1- 您但願哪種安裝 (server, agent, local or help)? agent - 選擇了 Agent(client) 類型的安裝. 2- 正在初始化安裝環境. - 請選擇 OSSEC HIDS 的安裝路徑 [/var/ossec]: /user/local/ossec - OSSEC HIDS 將安裝在 /user/local/ossec . 3- 正在配置 OSSEC HIDS. 3.1- 請輸入 OSSEC HIDS 服務器的IP地址或主機名: 192.168.1.107 - 添加服務器IP 192.168.1.107 3.2- 您但願運行系統完整性檢測模塊嗎? (y/n) [y]: y - 系統完整性檢測模塊將被部署. 3.3- 您但願運行 rootkit檢測嗎? (y/n) [y]: y - rootkit檢測將被部署. 3.4 - 您但願開啓聯動(active response)功能嗎? (y/n) [y]: y 3.5- 設置配置文件以分析一下日誌: -- /var/log/messages -- /var/log/secure -- /var/log/maillog -若是你但願監控其餘文件, 只須要在配置文件ossec.conf中 添加新的一項. 任何關於配置的疑問您均可以在 http://www.ossec.net 找到答案. --- 按 ENTER 以繼續 --- 5- 正在安裝系統 - 正在運行Makefile 編譯安裝輸出省略.... - 系統類型是 Redhat Linux. - 修改啓動腳本使 OSSEC HIDS 在系統啓動時自動運行 - 已正確完成系統配置. - 要啓動 OSSEC HIDS: /user/local/ossec/bin/ossec-control start - 要中止 OSSEC HIDS: /user/local/ossec/bin/ossec-control stop - 要查看或修改系統配置,請編輯 /user/local/ossec/etc/ossec.conf 感謝使用 OSSEC HIDS. 若是您有任何疑問,建議或您找到任何bug, 請經過 contact@ossec.net 或郵件列表 ossec-list@ossec.net 聯繫咱們. ( http://www.ossec.net/en/mailing_lists.html ). 您能夠在 http://www.ossec.net 得到更多信息 --- 請按 ENTER 結束安裝 (下面可能有更多信息). --- - 您必須首先將該代理添加到服務器端以使他們可以相互通訊. 這樣作了之後,您能夠運行'manage_agents'工具導入 服務器端產生的認證密匙. /user/local/ossec/bin/manage_agents 詳細信息請參考: http://www.ossec.net/en/manual.html#ma [root@ossec-agent ossec-hids-2.8.1]#
4.二、配置Agent
[root@ossec-agent ossec-hids-2.8.1]# /user/local/ossec/bin/manage_agents **************************************** * OSSEC HIDS v2.8 Agent manager. * * The following options are available: * **************************************** (I)mport key from the server (I). (Q)uit. Choose your action: I or Q: I * Provide the Key generated by the server. * The best approach is to cut and paste it. *** OBS: Do not include spaces or new lines. Paste it here (or '\q' to quit): MDAxIG9zc2VjLWFnZW50IDE5Mi4xNjguMS41NCA5Nzc1N2I5NDk3ZDcwNTRkMGZkNzZhYTE0MzE4ZWZlOWNjZmNiZjM5NzhhYTVkMDA1NjE5OWE2ZDc5ZGRmNjgw Agent information: ID:001 Name:ossec-agent IP Address:192.168.1.54 Confirm adding it?(y/n): y Added. ** Press ENTER to return to the main menu.
4.三、啓動Agent服務
[root@ossec-agent ossec-hids-2.8.1]# /user/local/ossec/bin/ossec-control start
4、安裝web界面服務
4.一、安裝web
[root@tshare365 ~]# mv analogi-master /var/www/html/tshare365 [root@tshare365 ~]# chown -R apache.apache /var/www/html/tshare365/ [root@tshare365 ~]# cd /var/www/html/tshare365/ [root@tshare365 tshare365]# cp db_ossec.php.new db_ossec.php
4.二、編輯db_ossec.php文件,修改MySQL的配置信息
define ('DB_USER_O', 'ossec');
define ('DB_PASSWORD_O', 'ossec');
define ('DB_HOST_O', '127.0.0.1');
define ('DB_NAME_O', 'ossec');
4.三、修改 apache 配置,增長虛擬目錄
[root@tshare365 tshare365]# vim /etc/httpd/conf.d/tshare365.conf <Directory /var/www/html/tshare365> Order deny,allow Deny from all Allow from 192.168.0.0/16 </Directory>
4.四、重啓http服務
[root@tshare365 tshare365]# /etc/init.d/httpd restart
5、客戶端訪問測試
5.一、遊覽器訪問
本博客到此結束,若有什麼問題,求留言!sql
相關文章
- 1. 基於主機的入侵檢測系統ossec安裝部署
- 2. Linux 入侵檢測系統 OSSEC
- 3. Linux部署入侵檢測系統(IDS)
- 4. 部署LinuxIDS入侵檢測系統
- 5. 部署OpenVAS漏洞檢測系統
- 6. 開源入侵檢測系統OSSEC搭建之三:Web界面安裝
- 7. 開源入侵檢測系統OSSEC搭建之一:服務端安裝
- 8. PXE部署系統安裝
- 9. pxe部署系統安裝
- 10. centos安裝ossec
- 更多相關文章...
- • 系統定義的TypeHandler - MyBatis教程
- • Maven 自動化部署 - Maven教程
- • Docker容器實戰(七) - 容器眼光下的文件系統
- • Composer 安裝與使用
相關標籤/搜索
每日一句
-
每一个你不满意的现在,都有一个你没有努力的曾经。
歡迎關注本站公眾號,獲取更多信息
相關文章