码上欢乐
相关内容   简体   繁体

OSSEC安装

本文转载自  查看原文  2020-11-17 21:28  379    企业安全建设
实验声明:本实验教程仅供研究学习使用,请勿用于非法用途,违者一律自行承担所有风险!

实验名称

OSSEC安装实验

实验原理

OSSEC是著名的基于主机的IDS系统,基于主机的IDS系统与基于网络的IDS是两个完全不同的系统,其工作原理是根据主机的表现,进行监控。 其有日志检测、文件完整性检测、后门检测、主动响应等功能。

实验环境

三台主机 一台centos7.5 作为ossec 服务器

一台centos7.5 作为ossec 客户端

一台Windows 作为web浏览器,查看OSSEC告警。

实验目的

学会安装OSSEC服务器与WRB页面。

实验步骤

一、安装数据库mysql

注意:实际上安装的是mariadb yum install -y mysql

安装mariadb服务 yum install -y mariadb-server

创建OSSEC数据库

启动mysql服务 systemctl start mariadb 连接mysql mysql

create database ossec; //创建数据库 grant INSERT,SELECT,UPDATE,CREATE,DELETE,EXECUTE on ossec.* to ossec@localhost identified by '360College'; //创建用户ossec,密码为360College,并授权 flush privileges; //刷新权限 exit //退出数据库

测试数据库连接正常

mysql -u ossec -p

输入密码360College

show databases;

二、安装OSSEC服务器

准备安装环境

yum install php php-mysql httpd mysql-devel

下载OSSEC

wget -U ossec https://bintray.com/artifact/download/ossec/ossec-hids/ossec-hids-2.8.3.tar.gz

解压OSSEC

tar -zxvf ossec-hids-2.8.3.tar.gz

安装数据库支持

cd ossec-hids-2.8.3 cd src;make setdb;cd..

开始安装OSSEC

执行 ./install.sh 选择中文安装 

选择安装服务器。 

其它默认回车就行。

安装完成

三、初始化数据库

开启数据库支持

/var/ossec/bin/ossec-control enable database

导入数据库表结构

mysql -u ossec -D ossec -p < src/os_dbd/mysql.schema 输入密码360College 

四、修改OSEEC配置文件

添加权限 chmod u+w /var/ossec/etc/ossec.conf 修改文件 vim /var/ossec/etc/ossec.conf

 <database_output> <hostname>127.0.0.1</hostname> <username>ossec</username> <password>ossec</password> <database>360College</database> <type>mysql</type> </database_output>

注意添加上述配置时,不要插入到其它的配置中。

配置允许接收的syslogIP

  <remote> <connection>syslog</connection> <allowed-ips>192.168.0.0/24</allowed-ips> </remote>

五、添加ossec客户端

/var/ossec/bin/manage_agents

导出客户端密钥

这个密钥是客户端安装时必须的,需要记录下来。 我这里是 MDAxIGNlbnRvcy10ZXN0IDE5Mi4xNjguMC43NCAyZGM4MzZkZTY0YTVkNjI1YWNiZTczNDg5MzBhMzM5Zjg5MDViOGQ1ZDIwODY0ZWJhYThlYmVkYzA4OGMyNzg2

六、为OSSEC安装WEB界面

curl -O https://codeload.github.com/ossec/ossec-wui/tar.gz/0.9 tar xzvf 0.9 cd ossec-wui-0.9/ cp -Rf * /var/www/html/ ./setup.sh

注意输入对应信息 用户名 ossec 密码 360College 重复密码 360College WEB SERVER 用户名:apache 

七、安装OSSEC客户端

登录客户端机器 sudo -i 输入密码360College,切换成root用户

下载OSSEC安装包

wget -U ossec https://bintray.com/artifact/download/ossec/ossec-hids/ossec-hids-2.8.3.tar.gz

解压并安装

tar -zxvf ossec-hids-*.tar.gz cd ossec-hids-* ./install.sh

选择agent安装

输入对应服务器IP

导入第五步中,服务生成的密钥 /var/ossec/bin/manage_agents

安装完成,启动客户端服务 /var/ossec/bin/ossec-control start

八、启动服务器服务

切换到服务器操作 /var/ossec/bin/ossec-control start

systemctl start httpd

九、使用浏览器查看信息

登录windows 使用web浏览器查看OSSEC信息

因为我们这里没有配置过多的规则,所以没有告警

实验总结

OSSEC是开源IDS平台,其内置了很多优秀的规则,后述实验我们会进一步详解OSSEC的具体使用。


免责声明!

本站转载的文章为个人学习借鉴使用,本站对版权不负任何法律责任。如果侵犯了您的隐私权益,请联系本站邮箱yoyou2525@163.com删除。



猜您在找 centos7下安装ossec Ossec 安装并配置邮件通知 OSSEC 安装执行./install.sh详细信息 ossec代理 开源入侵检测系统OSSEC搭建之三:Web界面安装 开源入侵检测系统OSSEC搭建之一:服务端安装 开源入侵检测系统OSSEC搭建之二:客户端安装 开源EDR(OSSEC) Ossec添加Agent端流程总结 Splunk作为日志分析平台与Ossec进行联动
 
粤ICP备18138465号  © 2018-2025 CODEPRJ.COM