前言

OSSEC是一款開源的多平臺(tái)的入侵檢測(cè)系統(tǒng),可以運(yùn)行于windows, linux, OpenBSD/FreeBSD, 以及 macOS等操作系統(tǒng)中。包括了日志分析,全面檢測(cè),root-kit檢測(cè)。網(wǎng)上能找到關(guān)于OSSEC的安裝教程與詳細(xì)使用并不多,本人實(shí)測(cè),沒(méi)有一個(gè)教程能完整照著文檔的步驟安裝成功吧。在安裝過(guò)程中會(huì)存在許多坑等你來(lái)填。對(duì)于Linux并不是那么熟的人來(lái)說(shuō),OSSEC的安裝并不容易,所以就有必要把OSSEC的安裝教程重寫一遍了。一是自己對(duì)OSSEC的安裝做一個(gè)復(fù)習(xí)與總結(jié),二也是希望能夠幫助大家能快速上手這款功能強(qiáng)大的OSSEC入侵檢測(cè)系統(tǒng),畢竟商業(yè)版的IDS確定很貴的。大部分個(gè)人是無(wú)法承受的。

2.5、創(chuàng)建OSSEC數(shù)據(jù)庫(kù)

命令:

[root@ossec-server ~] mysql -uroot -pmysql> create database ossec;mysql> grant INSERT,SELECT,UPDATE,CREATE,DELETE,EXECUTE on ossec.* to ossec@localhost;mysql> set password for ossec@localhost =PASSWORD('ossec');mysql> flush privileges;mysql> exit

上面SQL的語(yǔ)句意思是新建一個(gè)ossec的用戶,密碼為:ossec,只可以在localhost上登錄,ossec用戶可以對(duì)ossec的所有表進(jìn)行插入、查詢、修改、插入、刪除的操作。

2.6、下載OSSEC服務(wù)端

wget https://github.com/ossec/ossec-hids/archive/2.8.1.tar.gztar zxf 2.8.1.tar.gzcd ossec-hids-2.8.1/

2.7、使OSSEC支持Mysql

cd src; make setdb; cd ..

看到如下的信息說(shuō)明可以正常支持MySQL:

2.8、正式安裝OSSEC服務(wù)端

執(zhí)行install.sh腳本,根據(jù)提示的選項(xiàng)填寫,看我的:

OSSEC HIDS v2.8 安裝腳本 - http://www.ossec.net 您將開始 OSSEC HIDS 的安裝. 請(qǐng)確認(rèn)在您的機(jī)器上已經(jīng)正確安裝了 C 編譯器. 如果您有任何疑問(wèn)或建議,請(qǐng)給 dcid@ossec.net (或 daniel.cid@gmail.com) 發(fā)郵件. - 系統(tǒng)類型: Linux vultr.guest 2.6.32-754.6.3.el6.x86_64 - 用戶: root - 主機(jī): vultr.guest -- 按 ENTER 繼續(xù)或 Ctrl-C 退出. --1- 您希望哪一種安裝 (server, agent, local or help)? server - 選擇了 Server 類型的安裝.2- 正在初始化安裝環(huán)境. - 請(qǐng)選擇 OSSEC HIDS 的安裝路徑 [/var/ossec]: /var/ossec - OSSEC HIDS 將安裝在 /var/ossec .3- 正在配置 OSSEC HIDS. 3.1- 您希望收到e-mail告警嗎? (y/n) [y]: n --- Email告警沒(méi)有啟用 . 3.2- 您希望運(yùn)行系統(tǒng)完整性檢測(cè)模塊嗎? (y/n) [y]: y - 系統(tǒng)完整性檢測(cè)模塊將被部署. 3.3- 您希望運(yùn)行 rootkit檢測(cè)嗎? (y/n) [y]: y - rootkit檢測(cè)將被部署. 3.4- 關(guān)聯(lián)響應(yīng)允許您在分析已接收事件的基礎(chǔ)上執(zhí)行一個(gè) 已定義的命令. 例如,你可以阻止某個(gè)IP地址的訪問(wèn)或禁止某個(gè)用戶的訪問(wèn)權(quán)限. 更多的信息,您可以訪問(wèn): http://www.ossec.net/en/manual.html#active-response - 您希望開啟聯(lián)動(dòng)(active response)功能嗎? (y/n) [y]: n - 聯(lián)動(dòng)功能(Active response)被關(guān)閉. 3.5- 您希望接收遠(yuǎn)程機(jī)器syslog嗎 (port 514 udp)? (y/n) [y]: y - 遠(yuǎn)程機(jī)器syslog將被接收. 3.6- 設(shè)置配置文件以分析一下日志: -- /var/log/messages -- /var/log/secure -- /var/log/maillog -- /var/log/httpd/error_log (Apache log) -- /var/log/httpd/access_log (apache log) -如果你希望監(jiān)控其他文件, 只需要在配置文件ossec.conf中 添加新的一項(xiàng). 任何關(guān)于配置的疑問(wèn)您都可以在 http://www.ossec.net 找到答案. --- 按 ENTER 以繼續(xù) ---回車

…………省略編譯輸出…………

安裝完成將會(huì)輸出以下:

- 系統(tǒng)類型是 Redhat Linux. - 修改啟動(dòng)腳本使 OSSEC HIDS 在系統(tǒng)啟動(dòng)時(shí)自動(dòng)運(yùn)行 - 已正確完成系統(tǒng)配置. - 要啟動(dòng) OSSEC HIDS: /var/ossec/bin/ossec-control start - 要停止 OSSEC HIDS: /var/ossec/bin/ossec-control stop - 要查看或修改系統(tǒng)配置,請(qǐng)編輯 /var/ossec/etc/ossec.conf 感謝使用 OSSEC HIDS. 如果您有任何疑問(wèn),建議或您找到任何bug, 請(qǐng)通過(guò) contact@ossec.net 或郵件列表 ossec-list@ossec.net 聯(lián)系我們. ( http://www.ossec.net/en/mailing_lists.html ). 您可以在 http://www.ossec.net 獲得更多信息 --- 請(qǐng)按 ENTER 結(jié)束安裝 (下面可能有更多信息). --- - 為使代理能夠聯(lián)接服務(wù)器端, 您需要將每個(gè)代理添加到服務(wù)器. 允許'manage_agents'來(lái)添加活刪除代理: /var/ossec/bin/manage_agents 詳細(xì)信息請(qǐng)參考: http://www.ossec.net/en/manual.html#ma

2.9、啟用數(shù)據(jù)庫(kù)支持:

/var/ossec/bin/ossec-control enable database

2.9.1、然后導(dǎo)入MySQL表結(jié)構(gòu)到MySQL中

mysql -uossec -p ossec < ./src/os_dbd/mysql.schema

2.9.2、修改部分配置文件的權(quán)限,否則會(huì)啟動(dòng)服務(wù)失?。?/p>

chmod u+w /var/ossec/etc/ossec.conf

2.9.3、然后我們編輯/var/ossec/etc/ossec.conf文件,在ossec_config中添加如下MySQL配置:

108.61.119.62 ossec ossec ossec mysql

2.9.4、OSSEC支持接受遠(yuǎn)程機(jī)器的syslog,所以還需要對(duì)ossec.conf文件中的syslog部分進(jìn)行配置,修改/var/ossec/etc/ossec.conf文件,按照下面的內(nèi)容進(jìn)行修改,把我們的客戶端(Agent)的網(wǎng)段可以全添加進(jìn)去:

syslog 192.168.0.0/16

2.9.5、 服務(wù)器上添加客戶端,創(chuàng)建客戶端Key

執(zhí)行如下命令:

[root@vultr etc]# /var/ossec/bin/manage_agents***************************************** OSSEC HIDS v2.8 Agent manager. ** The following options are available: ***************************************** (A)dd an agent (A). (E)xtract key for an agent (E). (L)ist already added agents (L). (R)emove an agent (R). (Q)uit.Choose your action: A,E,L,R or Q: A- Adding a new agent (use 'q' to return to the main menu). Please provide the following: * A name for the new agent: ossec-agent * The IP Address of the new agent: 192.168.80.32 * An ID for the new agent[001]: 001Agent information: ID:001 Name:ossec-agent IP Address:192.168.80.32Confirm adding it?(y/n): YAgent added.***************************************** OSSEC HIDS v2.8 Agent manager. ** The following options are available: ***************************************** (A)dd an agent (A). (E)xtract key for an agent (E). (L)ist already added agents (L). (R)emove an agent (R). (Q)uit.Choose your action: A,E,L,R or Q: E Available agents: ID: 001, Name: ossec-agent, IP: 192.168.80.32Provide the ID of the agent to extract the key (or 'q' to quit): 001Agent key information for '001' is: MDAxIG9zc2VjLWFnZW50IDE5Mi4xNjguODAuMzIgZTU4ZThhMWU3YTZjYzhhMzVlYmQwNDg1YWQxZjhkMGU2YTIxM2QyZGZjYjE3NTdmZDczMWJhYjEwM2FkZmUyNw==** Press ENTER to return to the main menu.?

客戶的Key,用于后面的客戶端的連接,需要記錄保存。

2.9.6、 啟動(dòng)ossec服務(wù)端,到此安裝完成

[root@vultr etc]# /var/ossec/bin/ossec-control startStarting OSSEC HIDS v2.8 (by Trend Micro Inc.)...Started ossec-dbd...2019/04/05 19:59:01 ossec-maild: INFO: E-Mail notification disabled. Clean Exit.Started ossec-maild...Started ossec-execd...Started ossec-analysisd...Started ossec-logcollector...Started ossec-remoted...Started ossec-syscheckd...Started ossec-monitord...Completed.

1.《入侵教程 追蹤黑客神器,OSSEC入侵檢測(cè)系統(tǒng)最詳細(xì)的安裝教程》援引自互聯(lián)網(wǎng),旨在傳遞更多網(wǎng)絡(luò)信息知識(shí),僅代表作者本人觀點(diǎn),與本網(wǎng)站無(wú)關(guān),侵刪請(qǐng)聯(lián)系頁(yè)腳下方聯(lián)系方式。

2.《入侵教程 追蹤黑客神器,OSSEC入侵檢測(cè)系統(tǒng)最詳細(xì)的安裝教程》僅供讀者參考,本網(wǎng)站未對(duì)該內(nèi)容進(jìn)行證實(shí),對(duì)其原創(chuàng)性、真實(shí)性、完整性、及時(shí)性不作任何保證。

3.文章轉(zhuǎn)載時(shí)請(qǐng)保留本站內(nèi)容來(lái)源地址,http://f99ss.com/keji/345704.html