网站首页 > 开源技术 正文
linux 安全配置 ossec 开源检测
一:介绍
主要功能有日志分析、完整性检查、rootkit检测、基于时间的警报和主动响应。除了具有入侵检测系统功能外,它还一般被用在SEM/SIM(安全事件管理(SEM: Security Event Management)/安全信息管理(SIM:SecurityInformation Management))解决方案中。因其强大的日志分析引擎,ISP(Internet service provider)(网络服务提供商)、大学和数据中心用其监控和分析他们的防火墙、入侵检测系统、网页服务和验证等产生的日志
OSSEC是一款开源的多平台的入侵检测系统,可以运行于Windows, Linux, OpenBSD/FreeBSD, 以及 MacOS等操作系统中。包括了日志分析,全面检测,root-kit检测。作为一款HIDS,OSSEC应该被安装在一台实施监控的系统中。另外有时候不需要安装完全版本得OSSEC,如果有多台电脑都安装了OSSEC,那么就可以采用客户端/服务器模式来运行。客户机通过客户端程序将数据发回到服务器端进行分析。在一台电脑上对多个系统进行监控对于企业或者家庭用户来说都是相当经济实用的
二:安装部署
环境:
server: 192.168.146.170
client: 192.168.146.171
1.下载地址
http://www.ossec.net/files/ossec-hids-2.8.1.tar.gz
首先我们安装需要用到的关联库和软件,由于我们最终是需要把日志导入到MySQL中进行分析,以及需要通过web程序对报警结果进行展示,同时需要把本机当做SMTP,所以需要在本机安装MySQL、Apache和sendmail服务。在当前的终端中执行如下命令:
1.安装相关依赖
yum install wget gcc make mysql mysql-server mysql-devel httpd php php-mysql sendmail
2.启动对应的服务
/etc/init.d/httpd start
/etc/init.d/mysqld start
/etc/init.d/sendmail start
3.数据库配置
create database ossec charset=utf8;
grant INSERT,SELECT,UPDATE,CREATE,DELETE,EXECUTE on ossec.* to ossec@localhost;
set password for ossec@localhost=PASSWORD('admin');
flush privileges;
exit
4.安装ossec
wget http://www.ossec.net/files/ossec-hids-2.8.1.tar.gz
tar zxf ossec-hids-2.8.1.tar.gz
ln -s ossec-hids-2.8.1 ossec
cd ossec
cd src
make setdb
#Info: Compiled with MySQL support.
#看到此信息,则是支持MySQL
cd ..
./install.sh
语言选择,选cn 回车
-- 按 ENTER 继续或 Ctrl-C 退出. --
1- 您希望哪一种安装 (server, agent, local or help)? server
- 选择了 Server 类型的安装.
2- 正在初始化安装环境.
- 请选择 OSSEC HIDS 的安装路径 [/var/ossec]: /usr/local/ossec-hids
- OSSEC HIDS 将安装在 /usr/local/ossec-hids .
3- 正在配置 OSSEC HIDS.
3.1- 您希望收到e-mail告警吗? (y/n) [y]: y
- 请输入您的 e-mail 地址? shiye.meng@cnlaunch.com
- 请输入您的 SMTP 服务器IP或主机名 ? 127.0.0.1
3.2- 您希望运行系统完整性检测模块吗? (y/n) [y]: y
- 系统完整性检测模块将被部署.
3.3- 您希望运行 rootkit检测吗? (y/n) [y]: y
- rootkit检测将被部署.
3.4- 关联响应允许您在分析已接收事件的基础上执行一个
已定义的命令.
例如,你可以阻止某个IP地址的访问或禁止某个用户的访问权限.
更多的信息,您可以访问:
http://www.ossec.net/en/manual.html#active-response
- 您希望开启联动(active response)功能吗? (y/n) [y]: y
- 关联响应已开启
- 默认情况下, 我们开启了主机拒绝和防火墙拒绝两种响应.
第一种情况将添加一个主机到 /etc/hosts.deny.
第二种情况将在iptables(linux)或ipfilter(Solaris,
FreeBSD 或 NetBSD)中拒绝该主机的访问.
- 该功能可以用以阻止 SSHD 暴力攻击, 端口扫描和其他
一些形式的攻击. 同样你也可以将他们添加到其他地方,
例如将他们添加为 snort 的事件.
- 您希望开启防火墙联动(firewall-drop)功能吗? (y/n) [y]: y
- 防火墙联动(firewall-drop)当事件级别 >= 6 时被启动
- 联动功能默认的白名单是:
- 192.168.146.2
- 您希望添加更多的IP到白名单吗? (y/n)? [n]: y
- 请输入IP (用空格进行分隔): 192.168.146.171
3.5- 您希望接收远程机器syslog吗 (port 514 udp)? (y/n) [y]: y
- 远程机器syslog将被接收.
3.6- 设置配置文件以分析一下日志:
-- /var/log/messages
-- /var/log/secure
-- /var/log/maillog
-- /var/log/httpd/error_log (apache log)
-- /var/log/httpd/access_log (apache log)
-如果你希望监控其他文件, 只需要在配置文件ossec.conf中
添加新的一项.
任何关于配置的疑问您都可以在 http://www.ossec.net 找到答案.
--- 按 ENTER 以继续 ---
- 系统类型是 Redhat Linux.
- 修改启动脚本使 OSSEC HIDS 在系统启动时自动运行
- 已正确完成系统配置.
- 要启动 OSSEC HIDS:
/usr/local/ossec-hids/bin/ossec-control start
- 要停止 OSSEC HIDS:
/usr/local/ossec-hids/bin/ossec-control stop
- 要查看或修改系统配置,请编辑 /usr/local/ossec-hids/etc/ossec.conf
- 为使代理能够联接服务器端, 您需要将每个代理添加到服务器.
允许'manage_agents'来添加活删除代理:
/usr/local/ossec-hids/bin/manage_agents
#上面只是安装好了OSSEC服务端,下面则是为了配置服务端,使其工作正常。执行下面命令启用数据库支持:
cd /usr/local/ossec-hids/bin
cp ./ossec-control /usr/local/bin/ossec-control
ossec-control enable database
#导入表结构
mysql -uossec -padmin ossec < mysql.schema
#增加权限
chmod u+w /usr/local/ossec-hids/etc/ossec.conf
#然后我们编辑ossec.conf文件,在ossec_config中添加MySQL配置:
192.168.146.172
ossec
admin
ossec
mysql
#由于我们在前面的安装过程中支持接受远程机器的syslog,所以我们还需要对ossec.conf文件中的syslog部分进行配置,修改ossec.conf文件,按照下面的内容进行修改,把我们网段可以全添加进去:
syslog 192.168.0.0/16
#在实际的实验过程中启动ossec服务端必须先添加一个客户端,否则直接启动服务端是会失败的,通过如下命令查看日志会发现如下错误
ERROR: Unable to connect to active response queue.
#在服务器上添加客户端,执行如下命令,按照提示进行输入,红色部分是我们输入的:
/usr/local/ossec-hids/bin/manage_agents
****************************************
* OSSEC HIDS v2.8 Agent manager. *
* The following options are available: *
****************************************
(A)dd an agent (A).
(E)xtract key for an agent (E).
(L)ist already added agents (L).
(R)emove an agent (R).
(Q)uit.
Choose your action: A,E,L,R or Q: A
- Adding a new agent (use '\q' to return to the main menu).
Please provide the following:
* A name for the new agent: 192.168.146.170
* The IP Address of the new agent: 192.168.146.170
* An ID for the new agent[001]:
Agent information:
ID:001
Name:192.168.146.170
IP Address:192.168.146.170
Confirm adding it?(y/n): y
Agent added.
然后程序会重新进入到第一次的界面,如下,我们导出刚才添加的那个agent的key,用于后面的客户端连接到服务端:
****************************************
* OSSEC HIDS v2.8 Agent manager. *
* The following options are available: *
****************************************
(A)dd an agent (A).
(E)xtract key for an agent (E).
(L)ist already added agents (L).
(R)emove an agent (R).
(Q)uit.
Choose your action: A,E,L,R or Q: E
Available agents:
ID: 001, Name: 192.168.146.170, IP: 192.168.146.170
Provide the ID of the agent to extract the key (or '\q' to quit): 001
Agent key information for '001' is:
MDAxIDE5Mi4xNjguMTQ2LjE3MCAxOTIuMTY4LjE0Ni4xNzAgMjI2MWYxNzUwOTFmM2YwMzFkNWNhNTViYmY4MTk2YTc3MWJlMzdlMWRkNTE3YjYzNTQxN2M0ZmI0ODI3OGI5Yg==
到现在就可以启动我们的ossec服务端了。
#启动ossec 服务
/usr/local/ossec-hids/bin/ossec-control start
Starting OSSEC HIDS v2.8 (by Trend Micro Inc.)...
Started ossec-maild...
Started ossec-execd...
Started ossec-analysisd...
Started ossec-logcollector...
Started ossec-remoted...
Started ossec-syscheckd...
Started ossec-monitord...
Completed.
#客户端安装
#源码解压
./install.sh
-- 按 ENTER 继续或 Ctrl-C 退出. --
1- 您希望哪一种安装 (server, agent, local or help)? agent
- 选择了 Agent(client) 类型的安装.
2- 正在初始化安装环境.
- 请选择 OSSEC HIDS 的安装路径 [/var/ossec]: /usr/local/ossec-hids-agent
- OSSEC HIDS 将安装在 /usr/local/ossec-hids-agent .
3- 正在配置 OSSEC HIDS.
3.1- 请输入 OSSEC HIDS 服务器的IP地址或主机名: 192.168.146.172
- 添加服务器IP 192.168.146.172
3.2- 您希望运行系统完整性检测模块吗? (y/n) [y]: y
- 系统完整性检测模块将被部署.
3.3- 您希望运行 rootkit检测吗? (y/n) [y]: y
- rootkit检测将被部署.
3.4 - 您希望开启联动(active response)功能吗? (y/n) [y]: y
3.5- 设置配置文件以分析一下日志:
-- /var/log/messages
-- /var/log/secure
-- /var/log/maillog
-如果你希望监控其他文件, 只需要在配置文件ossec.conf中
添加新的一项.
#回车继续,开始编译安装
- 系统类型是 Redhat Linux.
- 修改启动脚本使 OSSEC HIDS 在系统启动时自动运行
- 已正确完成系统配置.
- 要启动 OSSEC HIDS:
/usr/local/ossec-hids-agent/bin/ossec-control start
- 要停止 OSSEC HIDS:
/usr/local/ossec-hids-agent/bin/ossec-control stop
- 要查看或修改系统配置,请编辑 /usr/local/ossec-hids-agent/etc/ossec.conf
- 您必须首先将该代理添加到服务器端以使他们能够相互通信.
这样做了以后,您可以运行'manage_agents'工具导入
服务器端产生的认证密匙.
配置OSSEC客户端
其实配置ossec客户端就是把刚才由服务端生成的key,在客户端中导入,执行如下命令
/usr/local/ossec-hids-agent/bin/manage_agents
****************************************
* OSSEC HIDS v2.8 Agent manager. *
* The following options are available: *
****************************************
(I)mport key from the server (I).
(Q)uit.
Choose your action: I or Q: I
* Provide the Key generated by the server.
* The best approach is to cut and paste it.
*** OBS: Do not include spaces or new lines.
Paste it here (or '\q' to quit): MDAxIDE5Mi4xNjguMTQ2LjE3MCAxOTIuMTY4LjE0Ni4xNzAgMjI2MWYxNzUwOTFmM2YwMzFkNWNhNTViYmY4MTk2YTc3MWJlMzdlMWRkNTE3YjYzNTQxN2M0ZmI0ODI3OGI5Yg==
Agent information:
ID:001
Name:192.168.146.170
IP Address:192.168.146.170
Confirm adding it?(y/n): y
Added.
#启动或重启客户端
/usr/local/ossec-hids-agent/bin/ossec-control start
Starting OSSEC HIDS v2.8 (by Trend Micro Inc.)...
Started ossec-execd...
2015/01/24 11:46:52 ossec-agentd: INFO: Using notify time: 600 and max time to reconnect: 1800
Started ossec-agentd...
Started ossec-logcollector...
Started ossec-syscheckd...
Completed.
#安装web界面
上面我们安装了ossec的服务端,并且为ossec添加了一个客户端,非常简单的一个环境,环境是搭建好了,可是目前这个环境如果我们要分析ossec的报警信息就太麻烦了,所以我们安装第三方的 web界面用来显示报警信息。
wget https://github.com/ECSC/analogi/archive/master.zip
unzip master
mv analogi-master/ /var/www/html/analogi
cd /var/www/html/
chown -R apache.apache analogi/
cd analogi/
cp db_ossec.php.new db_ossec.php
# 编辑db_ossec.php文件,修改MySQL的配置信息:
define ('DB_USER_O', 'ossec');
define ('DB_PASSWORD_O', 'admin');
define ('DB_HOST_O', '127.0.0.1');
define ('DB_NAME_O', 'ossec');
#修改 apache 配置,增加虚拟目录,
vim /etc/httpd/conf.d/analogi.conf
Alias /analogi /var/www/html/analogi
Order deny,allow
Deny from all
Allow from 192.168.0.0/16
#然后重新启动Apache
/etc/init.d/httpd restart
#访问web地址
http://192.168.146.172/analogi/
猜你喜欢
- 2024-10-27 Github工具库(二)(github 工具)
- 2024-10-27 linux如何检测某个用户是否有异常操作行为,追踪和分析
- 2024-10-27 安全运维工具和实践方法(安全运维阶段的主要活动包括运行管理和控制)
- 2024-10-27 「读书推荐」网络安全防御实战--蓝军武器库
- 2024-10-27 香港主机怎么配置网络防火墙和入侵检测系统?
- 2024-10-27 「原创首发」手把手指导安全日志管理中心实战(1)——规划
- 2024-10-27 CentOS7下部署OSSEC开源主机入侵检测系统(HIDS)并接入到GrayLog
- 2024-10-27 CentOS7下OSSEC(v3.6.0)安装及配置(图文)
- 2024-10-27 开源EDR--OSSEC(开源节流)
- 2024-10-27 企业安全之利器 配置入侵检测系统OSSEC
欢迎 你 发表评论:
- 最近发表
- 标签列表
-
- jdk (81)
- putty (66)
- rufus (78)
- 内网穿透 (89)
- okhttp (70)
- powertoys (74)
- windowsterminal (81)
- netcat (65)
- ghostscript (65)
- veracrypt (65)
- asp.netcore (70)
- wrk (67)
- aspose.words (80)
- itk (80)
- ajaxfileupload.js (66)
- sqlhelper (67)
- express.js (67)
- phpmailer (67)
- xjar (70)
- redisclient (78)
- wakeonlan (66)
- tinygo (85)
- startbbs (72)
- webftp (82)
- vsvim (79)
本文暂时没有评论,来添加一个吧(●'◡'●)