不多說,直接上干貨!
入門階段不建議選用最新的版本。
采用OSSIM 4.11 到 OSSIM5.0.3 之間任何版本做實驗,sensor的狀態都會是“V”。
建議,入門,采用OSSIM5.0.0
下載:
鏈接:https://pan.baidu.com/s/1eSsVXvG 密碼:ukyk
疑問:那我現在入門若安裝OSSIM5.0.0的話,想要使用高級版本了,怎么辦?
答:很簡單,升級就是。
更多版本的下載,見
下載地址 http://www.alienvault.com
OSSIM是什么?
OSSIM即開源安全信息管理系統(Open Source Security Information Management),是目前一個非常流行和完整的開源安全架構體系。
OSSIM通過將開源產品進行集成,從而提供一個能夠實現安全監控功能的、集中式、有組織的基礎框架平台。
Ossim5.0在4月20號由Alienvault公司對外發布,它從2003年誕生到現在,經歷了十多年的不斷錘煉,目前已經是一款成熟的開源SIEM產品。
OSSIM即開源安全信息管理系統(OPEN SOURCE SECURITY INFORMATION MANAGEMENT)是目前一個非常流行和完整的開源安全架構體系。OSSIM通過將開源產品進行集成,從而提供一種能夠實現安全監控功能的基礎平台。 它的目的是提供一種集中式、有組織的,能夠更好地進行監測和顯示的框架式系統。
OSSIM明確定位為一個集成解決方案,其目標並不是要開發一個新的功能,而是利用豐富的、強大的各種程序(包括Snort、Rrd、Nmap、 Nessus以及Ntop等開源系統安全軟件)。在一個保留他們原有功能和作用的開放式架構體系環境下,將他們集成起來。而OSSIM項目的核心工作在於 負責集成和關聯各種產品提供的信息,同時進行相關功能的整合。由於開源項目的優點,這些工具已經是久經考驗,同時也經過全方位測試、可靠的工具。
OSSIM5.2.0的下載
安裝以VMware虛擬機安裝為例,大家可以自己選擇,當然您有條件可以選擇物理計算機而不是虛擬機,畢竟性能要好一點。
點擊此處, OSSIM 5.2.0 進行下載。
通過官方鏈接,可以下載最新的OSSIM版本:http://downloads.alienvault.com/c/download?version=current_ossim_iso
如果想下載早期的OSSIM版本,請戳這里:http://downloads.us.alienvault.com/c/download
若大家,有人用OSSIM4.1、或者OSSIM4.3或者OSSIM4.6,則請移步,見
http://chenguang.blog.51cto.com/350944/1670753/
VMware虛機配置
我的VMware Workstation的版本是12.0。
為OSSIM環境創建虛機時,將安裝光盤鏡像文件的路徑設置為下載好的鏡像文件即可。
虛機的內存默認是256M,不過建議盡量分配大點(我給虛機分配了2G內存),以免后續OSSIM運行吃力。
然后,就可以創建虛機了。
其實,若你的是企業需要的話,則安裝OSSIM和普通Linux發行版沒有什么區別,即可選擇品牌服務器也支持虛擬化服務器,不過配置要注意。硬件選擇方面我們部署OSSIM需要獨立的一台高性能服務器(內存呢至少8G以上且配備了多處理器,硬盤空間不低於500GB,實驗階段也可適當降低要求),如果讀者在台式機或筆記本上做實驗,那么建議配上不小於8G內存和一塊128GB的固態硬盤式比較好的(對於Ossim4.1而言)。然后在機器上掛一塊大容量的USB3.0接口的移動硬盤即可。
同時,本博客,只是立足於在VMare虛擬機里的單節點安裝,若大家想要去進行分布式的OSSIM安裝,則先另尋資料或者繼續關注本博主的后續博文。
在對OSSIM進行分布式部署時,需要安裝多個OSSIM系統只不過角色不同,有的是Server有的是Sensor有的是Agent。安裝實現起來也不太難。
OSSIM 5.2.0的安裝和配置
總的步驟如下:
選擇語言、配置鍵盤;
探測並掛載光盤;
裝載debconf預配置文件;
從光盤加載按安裝程序組件;
探測網卡(包括有線和無線網卡);
配置網絡,這里只能選配置靜態IP地址,設定網關和DNS地址;
配置主機名、域名信息,設置root密碼;
同步時鍾設置,選擇時區;
探測磁盤、磁盤分區(建議使用Debian系統自帶的自動分區設置為LVM方式,盡量不要手動分區);
格式化分區(ext3格式),安裝基本系統,配置軟件包管理器;
將當前網卡設置為混雜模式;
設定監控網段(支持CIDR格式);
配置Postfix郵件系統(設置SMTP等,以后系統發送報警郵件會用到。);
安裝GRUB到硬盤;
選擇檢測插件 (如果實在物理服務器上安裝,到這一步就會光驅,下面開始系統自動設置工作);
保存日志、結束安裝進程;
以上十幾個步驟看似和其它Linux的安全沒有什么區別,為了正常應用OSSIM系統,有些問題需要單獨說明,在服務器先不要急於給磁盤做RAID,而且在分區是使用系統的自動分區,也不要手動分區。
對於這里的內存,推薦至少8G或者更大。不然也許可能會起不起來。
或者
或者
在“Install OSSIM”界面,點擊“Install AlientVault OSSIM 5.2.0 (64 Bit)”(此為混合安裝模式); 也就是單節點的OSSIM集群安裝。
如果我們是要搭建如3節點的OSSIM分布式集群,比如192.168.80.31作為ossim-server,192.168.80.32和192.168.80.33作為ossim-sensor。則這一步怎么來選擇呢?
即 192.168.80.31作為ossim-server選擇的是Install AlienVault OSSIM 5.2.0(64 Bit)
192.168.80.32和192.168.80.33作為ossim-sensor選擇的是Install AlienVault Sensor 5.2.0(64 Bit)
這里,若大家英文不太好,也可以選擇中文。
或者
在“Select a language”界面,選擇“Chinese (Simplified)”,點擊Continue;
但是,說真心話,真不建議大家用中文的。直接用英文最好!!!
如果大家在使用的過程中,
點擊,是
在“選擇你的區域”界面,選擇“中國”,點擊繼續;
或者
在“配置鍵盤”界面,選擇“美國英語”,點擊繼續;
或者
或者
在“配置網絡”界面
因為,我一般習慣在VMare虛擬機里,若是NAT模式的話,則ip地址是192.168.80.X
輸入IP地址:192.168.80.188,點擊繼續;
需要輸入IP地址,就是您分配給OSSIM的管理地址,也是將來用瀏覽器訪問的地址。規划好,盡量以后別隨便修改,否則配置麻煩。
或者
輸入網絡掩碼:255.255.255.0,點擊繼續;
或者
輸入網關:192.168.80.2,點擊繼續;
這里,是必須輸入網關地址,否則OSSIM升級的時候出問題。
或者
輸入域名服務器地址可以選擇自己的網關,如我的192.168.80.2。也可以:114.114.114.114,點擊繼續;
這里,是必須設置OSSIM的DNS,否則升級也是有問題的。
或者
在“設置用戶和密碼”界面,輸入Root用戶的密碼,點擊繼續;
或者
對於這里,大家會有一個疑問,也許你在網上看到關於OOSIM其他版本的安裝,比如http://chenguang.blog.51cto.com/350944/1670753/里的OSSIM 4.1的安裝,說要進行分區。其實現在的版本,已經是默認自動分區安裝好了。同時,也建議大家直接默認分區就好。
如果你是一位高級用戶者,強烈要自定義分區安裝,則見
http://chenguang.blog.51cto.com/350944/1723159/里的附件下載。
原來,這里面也有hbase。
基於CentOS6.5下snort+barnyard2+base的入侵檢測系統的搭建(圖文詳解)(博主推薦)
然后,就可以去喝杯咖啡,坐等安裝結束。
以下是ossim5.0.0的安裝
回車,因為我這里僅僅是OSSIM5.2.0或者OSSIM5.0.0的單節點搭建。
如果我們是要搭建如3節點的OSSIM分布式集群,比如192.168.80.31作為ossim-server,192.168.80.32和192.168.80.33作為ossim-sensor。則這一步就還需要選擇
回車
回車,保持默認網卡eth0既可
回車
回車
回車
回車,循環,這里不多贅述。
其實說白了,這里就是在最后安裝完成之前,還允許用戶對其之前安裝的設置進行再次修改,從0到7。
這里大家根據自己的需求進行修改,我這里都是保持默認。因為后續安裝成功后,還可以進行手動修改。也建議大家保持默認安裝。
喝杯咖啡,等會兒,成功!
OSSIM通過Web界面進行配置
安裝完成之后,就可以通過Web界面進行訪問了:https://192.168.80.188
建議大家用谷歌瀏覽器或者火狐瀏覽器。
第一次訪問,需要在“Administrator Account Creation”界面輸入FULL NAME、PASSWORD、EMAIL等項,點擊“START USING ALIENVAULT”;
由密碼為admin改為adminadmin
參考
http://chenguang.blog.51cto.com/350944/16367419(推薦)
同時,大家可以關注我的個人博客:
http://www.cnblogs.com/zlslch/ 和 http://www.cnblogs.com/lchzls/
詳情請見:http://www.cnblogs.com/zlslch/p/7473861.html
人生苦短,我願分享。本公眾號將秉持活到老學到老學習無休止的交流分享開源精神,匯聚於互聯網和個人學習工作的精華干貨知識,一切來於互聯網,反饋回互聯網。
目前研究領域:大數據、機器學習、深度學習、人工智能、數據挖掘、數據分析。 語言涉及:Java、Scala、Python、Shell、Linux等 。同時還涉及平常所使用的手機、電腦和互聯網上的使用技巧、問題和實用軟件。 只要你一直關注和呆在群里,每天必須有收獲
以及對應本平台的QQ群:161156071(大數據躺過的坑)
