開源入侵檢測系統OSSEC搭建之二：客戶端安裝

上一篇文章中已經將OSSEC服務端的安裝以及客戶端的Key導出操作做了解說，接下來在另一台虛擬機中安裝客戶端，與安裝服務端類似同樣需要安裝ossec，步驟如下。

一、下載ossec-hids-2.8.3.tar.gz並解壓

root@kali2:~# wget https://bintray.com/artifact/download/ossec/ossec-hids/ossec-hids-2.8.3.tar.gz
root@kali2:~# tar zxf ossec-hids-2.8.3.tar.gz
root@kali2:~# cd ossec-hids-2.8.3/

二、安裝客戶端

root@kali2:~/ossec-hids-2.8.3# ./install.sh ** Para instala??o em português, escolha [br].
  ** 要使用中文進行安裝, 請選擇 [cn].
  ** Fur eine deutsche Installation wohlen Sie [de].
  ** Για εγκατ?σταση στα Ελληνικ?, επιλ?ξτε [el].
  ** For installation in English, choose [en].
  ** Para instalar en Espa?ol , eliga [es].
  ** Pour une installation en fran?ais, choisissez [fr]
  ** A Magyar nyelv? telepítéshez válassza [hu].
  ** Per l'installazione in Italiano, scegli [it].
  ** 日本語でインストールします．選択して下さい．[jp].
  ** Voor installatie in het Nederlands, kies [nl].
  ** Aby instalowa? w j?zyku Polskim, wybierz [pl].
  ** Для инструкций по установке на русском ,введите [ru].
  ** Za instalaciju na srpskom, izaberi [sr].
  ** Türk?e kurulum i?in se?in [tr].
  (en/br/cn/de/el/es/fr/hu/it/jp/nl/pl/ru/sr/tr) [en]: cn
 OSSEC HIDS v2.8.3 安裝腳本 - http://www.ossec.net
 
 您將開始 OSSEC HIDS 的安裝.
 請確認在您的機器上已經正確安裝了 C 編譯器.
 如果您有任何疑問或建議,請給 dcid@ossec.net (或 daniel.cid@gmail.com) 發郵件.
 
  - 系統類型: Linux kali2 4.0.0-kali1-686-pae
  - 用戶: root
  - 主機: kali2


  -- 按 ENTER 繼續或 Ctrl-C 退出. --


1- 您希望哪一種安裝 (server, agent, local or help)? agent - 選擇了 Agent(client) 類型的安裝.

2- 正在初始化安裝環境.

 - 請選擇 OSSEC HIDS 的安裝路徑 [/var/ossec]: /opt/ossec - OSSEC HIDS 將安裝在  /opt/ossec .

3- 正在配置 OSSEC HIDS.

  3.1- 請輸入 OSSEC HIDS 服務器的IP地址或主機名: 192.168.218.136

   - 添加服務器IP  192.168.218.136

  3.2- 您希望運行系統完整性檢測模塊嗎? (y/n) [y]: 

   - 系統完整性檢測模塊將被部署.

  3.3- 您希望運行 rootkit檢測嗎? (y/n) [y]: 

   - rootkit檢測將被部署.

  3.4 - 您希望開啟聯動(active response)功能嗎? (y/n) [y]: 


  3.5- 設置配置文件以分析一下日志:
    -- /var/log/messages
    -- /var/log/auth.log
    -- /var/log/syslog
    -- /var/log/dpkg.log
    -- /var/log/apache2/error.log (apache log)
    -- /var/log/apache2/access.log (apache log)

                            
 -如果你希望監控其他文件, 只需要在配置文件ossec.conf中
  添加新的一項. 
  任何關於配置的疑問您都可以在 http://www.ossec.net 找到答案.


  --- 按 ENTER 以繼續 ---

具體的安裝過成略，當看到以下提示時說明客戶端安裝成功。

 - 系統類型是  Debian (Ubuntu or derivative).
 - 修改啟動腳本使 OSSEC HIDS 在系統啟動時自動運行 

 - 已正確完成系統配置.

 - 要啟動 OSSEC HIDS:
        /opt/ossec/bin/ossec-control start

 - 要停止 OSSEC HIDS:
        /opt/ossec/bin/ossec-control stop

 - 要查看或修改系統配置,請編輯  /opt/ossec/etc/ossec.conf



    感謝使用 OSSEC HIDS.
    如果您有任何疑問,建議或您找到任何bug,
    請通過　contact@ossec.net 或郵件列表 ossec-list@ossec.net 聯系我們.    
    ( http://www.ossec.net/en/mailing_lists.html ).

    您可以在　http://www.ossec.net 獲得更多信息

    --- 請按　ENTER 結束安裝 (下面可能有更多信息). ---

三、配置客戶端

配置ossec客戶端就是把剛才由服務端生成的key，在客戶端中導入

root@kali2:~/ossec-hids-2.8.3# /opt/ossec/bin/manage_agents ****************************************
* OSSEC HIDS v2.8.3 Agent manager.     *
* The following options are available: *
****************************************
   (I)mport key from the server (I).
   (Q)uit.
Choose your action: I or Q: I * Provide the Key generated by the server.
* The best approach is to cut and paste it.
*** OBS: Do not include spaces or new lines.

Paste it here (or '\q' to quit): MDAxIGFnZW50LWthbGkgMTkyLjE2OC4yMTguMTM3IDQ0NTg0MTQ5ZjMzODc2YzA4MDA0MTdlY2JkYWQ5ODc1NDRhZjc1ZmEyYWY0ZmFkMzU4OTBmMDYxMjE0ODA2ZTE=

Agent information:
   ID:001
   Name:agent-kali
   IP Address:192.168.218.137

Confirm adding it?(y/n): Y
Added.
** Press ENTER to return to the main menu.

啟動客戶端

root@kali2:~/ossec-hids-2.8.3# /opt/ossec/bin/ossec-control start

至此，客戶端已經安裝完成且已導入從服務端哪里獲得的Key值，接下來的工作就是要裝一個

第三方的日志報警顯示界面，推薦展示平台為analogi，具體的安裝方法請參考文章開源入侵檢測系統OSSEC搭建之三：Web界面安裝