碼上歡樂
相關內容    簡體    繁體

開源入侵檢測系統OSSEC搭建之一:服務端安裝

本文轉載自   查看原文   2016-07-14 10:15   3517    OSSEC

OSSEC是一款開源的多平台的入侵檢測系統,可以運行於Windows, Linux, OpenBSD/FreeBSD,

以及 MacOS等操作系統中。主要功能有日志分析、完整性檢查、rootkit檢測、基於時間的警報和主動響應。

除了具有入侵檢測系統功能外,它還一般被用在SEM/SIM(安全事件管理(SEM: Security Event Management)/

安全信息管理(SIM:SecurityInformation Management))解決方案中。因其強大的日志分析引擎,

ISP(Internet service provider)(網絡服務提供商)、大學和數據中心用其監控和分析他們的防火牆、

入侵檢測系統、網頁服務和驗證等產生的日志。

一、環境准備

  》OSSEC服務器端:VMware下CentOS7系統

  》OSSEC客戶端:VMware下KaliLinux 2.0系統

二、工具准備

  》安裝ossec 安裝過程中所需要用到的管理庫以及軟件等

  》下載最新版的ossec即ossec-hids-2.8.3.tar.gz

  》下載圖形分析工具analogi

三、開始安裝

  1.  安裝管理庫及軟件 -->mysql服務。

    需要注意的是ossec需要用到mysql數據庫,而直接yum install mysql的話會報錯,原因在於yum安裝庫里

    沒有直接可以用的安裝包,此時需要用到MariaDB了,MariaDB是MySQL社區開發的分支,也是一個增強型的替代品。

    具體安裝步驟請參考另一篇文章CentOS7安裝mysql-server

  2. 安裝管理庫及軟件 -->wget gcc make httpd php php-mysql服務

[root@localhost ~]# yum install wget gcc make httpd php php-mysql sendmail

  3. 啟動httpd、mysql、sendmail服務,詳細啟動、查看過程請參考Ossec常用命令

  》 啟動httpd服務並查看狀態

[root@localhost ~]# systemctl start httpd
[root@localhost ~]# systemctl status httpd.service

  》 啟動mysql服務並查看狀態

[root@localhost ~]# systemctl start mariadb
[root@localhost ~]# systemctl status mariadb.service

  》 啟動sendmail服務並查看狀態

[root@localhost ~]# systemctl start sendmail.service 
[root@localhost ~]# systemctl status sendmail.service

   4. 創建數據庫以方便我們下面的安裝配置,連接到本機的MySQ

[root@localhost ~]# mysql -uroot -p
Enter password: 
Welcome to the MariaDB monitor.  Commands end with ; or \g.
Your MariaDB connection id is 13
Server version: 5.5.47-MariaDB MariaDB Server

Copyright (c) 2000, 2015, Oracle, MariaDB Corporation Ab and others.

Type 'help;' or '\h' for help. Type '\c' to clear the current input statement.

MariaDB [(none)]> create database ossec;
Query OK, 1 row affected (0.00 sec)

MariaDB [(none)]> grant INSERT,SELECT,UPDATE,CREATE,DELETE,EXECUTE on ossec.* to ossec@localhost;
Query OK, 0 rows affected (0.04 sec)

MariaDB [(none)]> set password for ossec@localhost=PASSWORD('ossec');
Query OK, 0 rows affected (0.00 sec)

MariaDB [(none)]> flush privileges;
Query OK, 0 rows affected (0.00 sec)

MariaDB [(none)]> exit
Bye
[root@localhost ~]#

  5.  安裝ossec服務器端

  》官網下載最新版ossec即ossec-hids-2.8.3.tar.gz並解壓

wget https://bintray.com/artifact/download/ossec/ossec-hids/ossec-hids-2.8.3.tar.gz
tar zxf ossec-hids-2.8.3.tar.gz
cd ossec-hids-2.8.3/

  》為了使OSSEC支持MySQL,安裝前執行make setdb命令

    看到最后一行[Info: Compiled with MySQL support.]的信息時說明可以正常支持MySQL

[root@localhost ossec-hids-2.8.3]# cd src; make setdb; cd ..

Error: PostgreSQL client libraries not installed.

Info: Compiled with MySQL support.

  》執行install.sh腳本

  具體安裝的信息可以參考另一篇文章OSSEC 安裝執行./install.sh詳細信息,當看到如下信息時

  說明安裝服務器端已經成功。

 - 系統類型是  Redhat Linux.
 - 修改啟動腳本使 OSSEC HIDS 在系統啟動時自動運行 

 - 已正確完成系統配置.

 - 要啟動 OSSEC HIDS:
        /opt/ossec/bin/ossec-control start

 - 要停止 OSSEC HIDS:
        /opt/ossec/bin/ossec-control stop

 - 要查看或修改系統配置,請編輯  /opt/ossec/etc/ossec.conf



    感謝使用 OSSEC HIDS.
    如果您有任何疑問,建議或您找到任何bug,
    請通過 contact@ossec.net 或郵件列表 ossec-list@ossec.net 聯系我們.    
    ( http://www.ossec.net/en/mailing_lists.html ).

    您可以在 http://www.ossec.net 獲得更多信息

    --- 請按 ENTER 結束安裝 (下面可能有更多信息). ---

  6. 配置ossec服務端

  》執行下面命令啟用數據庫支持

[root@localhost ossec-hids-2.8.3]# /opt/ossec/bin/ossec-control enable database

  》導入MySQL表結構到MySQL中

[root@localhost ossec-hids-2.8.3]# mysql -uossec -p ossec < ./src/os_dbd/mysql.schema

  》修改部分配置文件的權限

[root@localhost ossec-hids-2.8.3]# chmod u+w /opt/ossec/etc/ossec.conf

  》編輯ossec.conf文件,在ossec_config中添加MySQL配置

    編輯ossec.conf文件,在ossec_config標簽內部添加如下MySQL配置

  <database_output>
    <hostname>192.168.218.136</hostname>
    <username>ossec</username>
    <password>ossec</password>
    <database>ossec</database>
    <type>mysql</type>
  </database_output>

  》由於服務端安裝過程中設置了支持接受遠程機器的syslog,所以需要對ossec.conf文件中的

    syslog部分進行配置,修改ossec.conf文件,將需要收集的網段全添加進去。配置后的ossec.conf

  <remote>
    <connection>syslog</connection>
    <allowed-ips>192.168.0.0/16</allowed-ips>
  </remote>

  7. 添加ossec客戶端並導出Key

[root@localhost ~]# /opt/ossec/bin/manage_agents ****************************************
* OSSEC HIDS v2.8.3 Agent manager.     *
* The following options are available: *
****************************************
   (A)dd an agent (A).
   (E)xtract key for an agent (E).
   (L)ist already added agents (L).
   (R)emove an agent (R).
   (Q)uit.
Choose your action: A,E,L,R or Q: A - Adding a new agent (use '\q' to return to the main menu).
  Please provide the following:
   * A name for the new agent: agent-kali * The IP Address of the new agent: 192.168.218.137
   * An ID for the new agent[001]: 
Agent information:
   ID:001
   Name:agent-kali
   IP Address:192.168.218.137

Confirm adding it?(y/n): y
Agent added.

客戶端Name為agent-kali,ip地址為192.168.218.137的記錄已經添加完畢,但是需要導出一個Key,

這個Key的作用是在客戶端中導入並使得服務端與客戶端達到聯動的效果。導出Key步驟如下

****************************************
* OSSEC HIDS v2.8.3 Agent manager.     *
* The following options are available: *
****************************************
   (A)dd an agent (A).
   (E)xtract key for an agent (E).
   (L)ist already added agents (L).
   (R)emove an agent (R).
   (Q)uit.
Choose your action: A,E,L,R or Q: E

Available agents: 
   ID: 001, Name: agent-kali, IP: 192.168.218.137
Provide the ID of the agent to extract the key (or '\q' to quit): 001

Agent key information for '001' is: 
MDAxIGFnZW50LWthbGkgMTkyLjE2OC4yMTguMTM3IDQ0NTg0MTQ5ZjMzODc2YzA4MDA0MTdlY2JkYWQ5ODc1NDRhZjc1ZmEyYWY0ZmFkMzU4OTBmMDYxMjE0ODA2ZTE=

** Press ENTER to return to the main menu.

導出的Key值:

MDAxIGFnZW50LWthbGkgMTkyLjE2OC4yMTguMTM3IDQ0NTg0MTQ5ZjMzODc2YzA4MDA0MTdlY2JkYWQ5ODc1NDRhZjc1ZmEyYWY0ZmFkMzU4OTBmMDYxMjE0ODA2ZTE=

至此,OSSEC服務端已經安裝結束並且導出了客戶端的Key,但是不安裝客戶端的情況下直接啟動服務端會報錯,

客戶端的安裝請參考文章開源入侵檢測系統OSSEC搭建之二:客戶端安裝


免責聲明!

本站轉載的文章為個人學習借鑒使用,本站對版權不負任何法律責任。如果侵犯了您的隱私權益,請聯系本站郵箱yoyou2525@163.com刪除。



猜您在找 開源入侵檢測系統OSSEC搭建之二:客戶端安裝 開源入侵檢測系統OSSEC搭建之三:Web界面安裝 搭建Linux入侵檢測系統(ids) 搭建開源入侵檢測系統Snort並實現與防火牆聯動 網絡入侵檢測系統 SNORT入侵檢測系統 Snort 入侵檢測系統 Linux 上搭建 Snort+BASE 入侵檢測系統 [入侵檢測系統][IDS]CentOS6.6搭建基於snort+barnyard2+base的入侵檢測系統 網絡入侵檢測系統(IDS)的安裝部署
 
粵ICP備18138465號   © 2018-2025 CODEPRJ.COM