一、前言
OSSEC是一款開源的基於主機的入侵檢測系統,可以簡稱為HIDS。它具備日志分析,文件完整性檢查,策略監控,rootkit檢測,實時報警以及聯動響應等功能。它支持多種操作系統:Linux、Windows、MacOS、Solaris、HP-UX、AIX。屬於企業安全之利器。
- S/C運行模式,類似於zabbix
- ossec支持3種日志, Alert logging, firewall logging and event (archiving) logging
- server開通udp514(rsyslog),udp1514(ossec-remoted)端口監聽,client會把實時狀態數據發給server
- 集成fail2ban,iptables過濾,錯誤日志分析
詳細的介紹和文檔可以參考官網網站:http://www.ossec.net/
二、系統環境
服務端:
計算機名:ossec-server
IP地址:172.16.91.130
OS: centos7.0
客戶端1:
計算機名: agent-linux
IP地址:172.16.91.131
OS:ubunut14.04
客戶端2:
計算機名: agent-win7
IP地址:172.16.91.143
OS:win7x86
三、ossec服務器端安裝
Yum源的安裝和配置
1、進入到 centos下yum文件夾
[root@localhost]# cd /etc/yum.repos.d/
2、用wget下載repo文件
wget http://mirrors.aliyun.com/repo/Centos-7.repo
如果wget命令不生效,說明還沒有安裝wget工具,輸入yum -y install wget 回車進行安裝。當前目錄是/etc/yum.repos.d/,剛剛下載的Centos-7.repo也在這個目錄上
[root@localhost]# yum -y install wget
[root@localhost]#
wget http://mirrors.aliyun.com/repo/Centos-7.repo
3、備份系統原來的repo文件
[root@localhost]# mv CentOS-Base.repoCentOS-Base.bak.repo
#即是重命名 CentOs-Base.repo -> CentOs-Base.repo.bak
4、替換系統原來的repo文件
mv Centos-7.repo CentOs-Base.repo
#即是重命名 Centos-7.repo -> CentOs-Base.repo
[root@localhost]# mv Centos-7.repo CentOS-Base.repo
5、執行yum源更新命令
[root@localhost]# yum clean all
[root@localhost]# yum makecache
[root@localhost]# yum update
關閉防火牆
[root@localhost ~]# cat /etc/selinux/config
# This file controls the state of SELinux on the system.
# SELINUX= can take one of these three values:
# enforcing - SELinux security policy is enforced.
# permissive - SELinux prints warnings instead of enforcing.
# disabled - No SELinux policy is loaded.
SELINUX=disabled
# SELINUXTYPE= can take one of three two values:
# targeted - Targeted processes are protected,
# minimum - Modification of targeted policy. Only selected processes are protected.
# mls - Multi Level Security protection.
SELINUXTYPE=targeted
關閉firewall:
systemctl stop firewalld.service #停止firewall
systemctl disable firewalld.service #禁止firewall開機啟動
Mysql的安裝和配置
1.下載mysql的yum源的rpm包
[root@localhost ~]#
wget http://repo.mysql.com/mysql57-community-release-el7.rpm
2.安裝rpm文件,通過命令安裝MySQL的YUM源:
[root@localhost ~]# rpm -ivh mysql57-community-release-el7.rpm
3.YUM安裝MySQL以及lib插件
[root@localhost ~]# yum install -y mysql-server
[root@localhost ~]#yum -y install mariadb-server mariadb mariadb-devel
4.啟動MySQL
[root@localhost ~]# systemctl start mysqld
5.設置開機啟動:
[root@localhost ~]#systemctl enable mysqld
6.獲取mysql的臨時密碼信息
[root@localhost ~]#grep 'temporary password' /var/log/mysqld.log
7.設置mysql密碼策略
[root@localhost ~]# mysql -uroot –p
mysql> set global validate_password_policy=0;
mysql>set global validate_password_length=1;
8.設置允許root賬號登陸
mysql> ALTER USER 'root'@'localhost' IDENTIFIED BY 'root';
7.授權其他機器登陸
8.添加mysql中用戶oseec具有插入,增加,刪除等權限
mysql -uroot -p
mysql> create database ossec;
mysql> grant INSERT,SELECT,UPDATE,CREATE,DELETE,EXECUTE on ossec.* to ossec@localhost identified by 'ossec';
mysql> flush privileges;
mysql> \q
9、.創建數據庫以方便我們下面的安裝配置,連接到本機的MySQ
[root@localhost ~]# mysql -uroot -p
mysql> create database ossec;
安裝管理庫以及sedmail和php軟件
1.首先我們安裝需要用到的關聯庫和軟件,由於我們最終是需要把日志導入到MySQL中進行分析,以及需要通過web程序對報警結果進行展示,同時需要把本機當做SMTP,所以需要在本機安裝MySQL、Apache和sendmail服務。在當前的終端中執行如下命令
[root@localhost ~]# yum install wget gcc make httpd php php-mysql sendmail
2.啟動httpd服務並查看狀態以及設置隨機啟動
[root@localhost ~]# systemctl start httpd #啟動httpd服務
[root@localhost ~]# systemctl status httpd.service #查看httpd服務器
[root@localhost ~]#systemctl enable httpd #設置開機啟動
3.啟動sendmail服務並查看狀態以及設置隨機啟動
[root@localhost ~]# systemctl start sendmail.service #設置啟動sedmail
[root@localhost ~]# systemctl status sendmail.service #查看sedmail狀態
[root@localhost ~]# systemctl enable sendmail.service #設置開機啟動
ossec服務器端安裝和配置
1.通過wget下載ossec安裝包
[root@localhost ~]#
wget https://bintray.com/artifact/download/ossec/ossec-hids/ossec-hids-2.8.3.tar.gz
2.進入到ossec安裝目錄
[root@localhost ~]# cd ossec-hids-2.9.3/
3.為了使OSSEC支持MySQL,需要在安裝前執行make setdb命令,如下
[root@localhost ~]# cd src
[root@localhost ~]# make setdb
看到如下的信息說明可以正常支持MySQL:
Info: Compiled with MySQL support.
4.安裝ossec服務端
[root@localhost ossec-hids-2.8.3]# ./install.sh
which: no host in (/usr/local/sbin:/usr/local/bin:/sbin:/bin:/usr/sbin:/usr/bin:/root/bin:/usr/local/mysql/bin:/usr/local/jdk1.7.0_09//bin:/root/bin)
** Para instalação em português, escolha [br].
** 要使用中文進行安裝, 請選擇 [cn].
** Fur eine deutsche Installation wohlen Sie [de].
** Για εγκατάσταση στα Ελληνικά, επιλέξτε [el].
** For installation in English, choose [en].
** Para instalar en Español , eliga [es].
** Pour une installation en français, choisissez [fr]
** A Magyar nyelvű telepítéshez válassza [hu].
** Per l'installazione in Italiano, scegli [it].
** 日本語でインストールします.選択して下さい.[jp].
** Voor installatie in het Nederlands, kies [nl].
** Aby instalować w języku Polskim, wybierz [pl].
** Для инструкций по установке на русском ,введите [ru].
** Za instalaciju na srpskom, izaberi [sr].
** Türkçe kurulum için seçin [tr].
(en/br/cn/de/el/es/fr/hu/it/jp/nl/pl/ru/sr/tr) [en]: cn
which: no host in (/usr/local/sbin:/usr/local/bin:/sbin:/bin:/usr/sbin:/usr/bin:/root/bin:/usr/local/mysql/bin:/usr/local/jdk1.7.0_09//bin:/root/bin)
OSSEC HIDS v2.7.1 安裝腳本 - http://www.ossec.net
您將開始 OSSEC HIDS 的安裝.
請確認在您的機器上已經正確安裝了 C 編譯器.
如果您有任何疑問或建議,請給 dcid@ossec.net (或 daniel.cid@gmail.com) 發郵件.
- 系統類型: Linux ossec-server.com 2.6.32-431.el6.x86_64
- 用戶: root
- 主機: ossec-server.com
-- 按 ENTER 繼續或 Ctrl-C 退出. --
1- 您希望哪一種安裝 (server, agent, local or help)? server
- 選擇了 Server 類型的安裝.
2- 正在初始化安裝環境.
- 請選擇 OSSEC HIDS 的安裝路徑 [/usr/local/ossec]: /usr/local/ossec
- OSSEC HIDS 將安裝在/usr/local/ossec .
3- 正在配置 OSSEC HIDS.
3.1- 您希望收到e-mail告警嗎? (y/n) [y]: y
- 請輸入您的 e-mail 地址? root@backlion.org
- 請輸入您的 SMTP 服務器IP或主機名 ? 127.0.0.1
3.2- 您希望運行系統完整性檢測模塊嗎? (y/n) [y]: y
- 系統完整性檢測模塊將被部署.
3.3- 您希望運行 rootkit檢測嗎? (y/n) [y]: y
- rootkit檢測將被部署.
3.4- 關聯響應允許您在分析已接收事件的基礎上執行一個
已定義的命令.
例如,你可以阻止某個IP地址的訪問或禁止某個用戶的訪問權限.
更多的信息,您可以訪問:
http://www.ossec.net/en/manual.html#active-response
- 您希望開啟聯動(active response)功能嗎? (y/n) [y]: y
- 關聯響應已開啟
- 默認情況下, 我們開啟了主機拒絕和防火牆拒絕兩種響應.
第一種情況將添加一個主機到 /etc/hosts.deny.
第二種情況將在iptables(linux)或ipfilter(Solaris,
FreeBSD 或 NetBSD)中拒絕該主機的訪問.
- 該功能可以用以阻止 SSHD 暴力攻擊, 端口掃描和其他
一些形式的攻擊. 同樣你也可以將他們添加到其他地方,
例如將他們添加為 snort 的事件.
- 您希望開啟防火牆聯動(firewall-drop)功能嗎? (y/n) [y]: y
- 防火牆聯動(firewall-drop)當事件級別 >= 6 時被啟動
- 聯動功能默認的白名單是:
- 172.16.91.130 #ossec服務端IP
- 您希望添加更多的IP到白名單嗎? (y/n)? [n]: n
3.5- 您希望接收遠程機器syslog嗎 (port 514 udp)? (y/n) [y]: y
- 遠程機器syslog將被接收.
3.6- 設置配置文件以分析一下日志:
-- /var/log/messages
-- /var/log/secure
-- /var/log/maillog
-如果你希望監控其他文件, 只需要在配置文件ossec.conf中
添加新的一項.
任何關於配置的疑問您都可以在 http://www.ossec.net 找到答案.
5.為了配置服務端,使其工作正常,執行下面命令啟用數據庫支持
[root@localhost ossec-hids-2.8.3]# /var/ossec/bin/ossec-control enable database
6.導入MySQL表結構到MySQL中
[root@localhost ossec-hids-2.8.3]#
mysql -uossec -p ossec < src/os_dbd/mysql.schema
7.修改配置文件的權限,否則會啟動服務失敗
[root@localhost etc]# chmod u+w/var/ossec/etc/ossec.conf
8.編輯ossec.conf文件,在ossec_config中添加MySQL配置
<database_output>
<hostname>localhost</hostname>
<username>ossec</username>
<password>ossec</password>
<database>ossec</database>
<type>mysql</type>
</database_output>
9.由於服務端安裝過程中設置了支持接受遠程機器的syslog,所以需要對ossec.conf文件中的 syslog部分進行配置,修改ossec.conf文件,將需要收集的網段全添加進去。
<remote>
<connection>syslog</connection>
<allowed-ips>172.16.0.0/16</allowed-ips>
</remote>
10.以及需要設置監控的客戶機的白名單IP地址以及收件郵箱地址配置信息添加進去
<global>
<white_list>127.0.0.1</white_list>
<white_list>^localhost.localdomain$</white_list>
<white_list>10.10.16.2</white_list> # #白名單,api接口,cdn的ip
<white_list>10.10.16.3</white_list>
<white_list>10.10.16.4</white_list>
<email_to>you_mail1@163.com</email_to> #收件箱
<email_to>you_mail2@163.com</email_to>
</global>
12.重新啟動ossec服務進行生效
[root@localhost etc]#/var/ossec/bin/ossec-controlrestart
添加ossec客戶端並導出Key
1.添加ossece客服端信息
[root@localhost ~]# /var/ossec/bin/manage_agents
****************************************
* OSSEC HIDS v2.8.3 Agent manager. *
* The following options are available: *
****************************************
(A)dd an agent (A).
(E)xtract key for an agent (E).
(L)ist already added agents (L).
(R)emove an agent (R).
(Q)uit.
Choose your action: A,E,L,R or Q: A #選擇A,表示添加agent
- Adding a new agent (use '\q' to return to the main menu).
Please provide the following:
* A name for the new agent: agent1
* The IP Address of the new agent: 172.16.91.134 #agent端的ip地址
* An ID for the new agent[001]: 001
Agent information:
ID:001
Name:agent1
IP Address:172.16.91.134
Confirm adding it?(y/n): y
Agent added.
客戶端Name為agen1,ip地址為172.16.91.134的記錄已經添加完畢,但是需要導出一個Key
2.到處ossec客服端的key
這個Key的作用是在客戶端中導入並使得服務端與客戶端達到聯動的效果。導出Key步驟如下:
****************************************
* OSSEC HIDS v2.8.3 Agent manager. *
* The following options are available: *
****************************************
(A)dd an agent (A).
(E)xtract key for an agent (E).
(L)ist already added agents (L).
(R)emove an agent (R).
(Q)uit.
Choose your action: A,E,L,R or Q: E
Available agents:
ID: 001, Name: agent-kali, IP: 192.168.218.137
Provide the ID of the agent to extract the key (or '\q' to quit): 001
Agent key information for '001' is:
MDAxIGFnZW50MSAxNzIuMTYuOTEuMTM0IGU0MWY1YzhkNTc4NDc4ZWU4ZWI0ZmY2ZDRiYTZlMmFjM2QyNmRlYmRjZDI1ZDI1NmUzYWY4OWYyMTA0NzYyMTY=
** Press ENTER to return to the main menu. #復制這個秘鑰,客戶端需要
然后Enter后輸入Q退出
導出的Key值:
MDAxIGFnZW50MSAxNzIuMTYuOTEuMTM0IGU0MWY1YzhkNTc4NDc4ZWU4ZWI0ZmY2ZDRiYTZlMmFjM2QyNmRlYmRjZDI1ZDI1NmUzYWY4OWYyMTA0NzYyMTY=
四、ossec客戶端的安裝和配置
ossec客服端的安裝
1.進入到opt目錄
root@backlion:~# cd /opt
2.下載ossece客戶端的agent
root@backlion:~#
wget https://bintray.com/artifact/download/ossec/ossec-hids/ossec-hids-2.8.3.tar.gz
3.解壓agent
root@backlion:~# tar zxvf ossec-hids-2.8.3.tar.gz
4.進入到agent的安裝目錄
root@backlion:~# cd ossec-hids-2.8.3/
5.ossec的客服端agent的安裝
root@backlion:~#ossec-hids-2.8.3# ./install.sh
** Para instalação em português, escolha [br].
** 要使用中文進行安裝, 請選擇 [cn].
** Fur eine deutsche Installation wohlen Sie [de].
** Για εγκατάσταση στα Ελληνικά, επιλέξτε [el].
** For installation in English, choose [en].
** Para instalar en Español , eliga [es].
** Pour une installation en français, choisissez [fr]
** A Magyar nyelvű telepítéshez válassza [hu].
** Per l'installazione in Italiano, scegli [it].
** 日本語でインストールします.選択して下さい.[jp].
** Voor installatie in het Nederlands, kies [nl].
** Aby instalować w języku Polskim, wybierz [pl].
** Для инструкций по установке на русском ,введите [ru].
** Za instalaciju na srpskom, izaberi [sr].
** Türkçe kurulum için seçin [tr].
(en/br/cn/de/el/es/fr/hu/it/jp/nl/pl/ru/sr/tr) [en]: cn
OSSEC HIDS v2.8.3 安裝腳本 - http://www.ossec.net
您將開始 OSSEC HIDS 的安裝.
請確認在您的機器上已經正確安裝了 C 編譯器.
如果您有任何疑問或建議,請給 dcid@ossec.net (或 daniel.cid@gmail.com) 發郵件.
- 系統類型: Linux backlion 3.19.0-25-generic
- 用戶: root
- 主機: backlion
-- 按 ENTER 繼續或 Ctrl-C 退出. --
- 您希望哪一種安裝 (server, agent, local or help)? agent
- 選擇了 Agent(client) 類型的安裝.
- 正在初始化安裝環境.
- 請選擇 OSSEC HIDS 的安裝路徑 [/var/ossec]: #回車
- OSSEC HIDS 將安裝在/var/ossec .
- 請輸入 OSSEC HIDS 服務器的IP地址或主機名: 172.16.91.130
- 添加服務器IP 172.16.91.130
- 您希望運行系統完整性檢測模塊嗎? (y/n) [y]: y
- 系統完整性檢測模塊將被部署.
- 您希望運行 rootkit檢測嗎? (y/n) [y]: y
- rootkit檢測將被部署.
- 您希望開啟聯動(active response)功能嗎? (y/n) [y]: y
- 設置配置文件以分析一下日志:
-- /var/log/messages
-- /var/log/auth.log
-- /var/log/syslog
-- /var/log/dpkg.log
-- /var/log/apache2/error.log (apache log)
-- /var/log/apache2/access.log (apache log)
-如果你希望監控其他文件, 只需要在配置文件ossec.conf中
添加新的一項.
任何關於配置的疑問您都可以在 http://www.ossec.net 找到答案.
--- 按 ENTER 以繼續 ---
具體的安裝過成略,當看到以下提示時說明客戶端安裝成功。
- 系統類型是 Debian (Ubuntu or derivative).
- 修改啟動腳本使 OSSEC HIDS 在系統啟動時自動運行
- 已正確完成系統配置.
- 要啟動 OSSEC HIDS:
/var/ossec/bin/ossec-control start
- 要停止 OSSEC HIDS:
/var/ossec/bin/ossec-control stop
- 要查看或修改系統配置,請編輯 /var/ossec/etc/ossec.conf
感謝使用 OSSEC HIDS.
如果您有任何疑問,建議或您找到任何bug,
請通過 contact@ossec.net 或郵件列表 ossec-list@ossec.net 聯系我們.
( http://www.ossec.net/en/mailing_lists.html ).
您可以在 http://www.ossec.net 獲得更多信息
--- 請按 ENTER 結束安裝 (下面可能有更多信息). ---
- 您必須首先將該代理添加到服務器端以使他們能夠相互通信.
這樣做了以后,您可以運行'manage_agents'工具導入
服務器端產生的認證密匙.
/opt/ossec-hids-2.8.3/bin/manage_agents
詳細信息請參考:
http://www.ossec.net/en/manual.html#ma
ossec客戶端的配置
1.配置ossec客戶端就是把剛才由服務端生成的key,在客戶端中導入
root@backlion:~#/opt/ossec-hids-2.8.3/bin/manage_agents
****************************************
* OSSEC HIDS v2.8.3 Agent manager. *
* The following options are available: *
****************************************
(I)mport key from the server (I).
(Q)uit.
Choose your action: I or Q: I
* Provide the Key generated by the server.
* The best approach is to cut and paste it.
*** OBS: Do not include spaces or new lines.
Paste it here (or '\q' to quit):
MDAxIGFnZW50MSAxNzIuMTYuOTEuMTM0IGU0MWY1YzhkNTc4NDc4ZWU4ZWI0ZmY2ZDRiYTZlMmFjM2QyNmRlYmRjZDI1ZDI1NmUzYWY4OWYyMTA0NzYyMTY=
Agent information:
ID:001
Name:agent1
IP Address:172.16.91.134
Confirm adding it?(y/n): Y
Added.
** Press ENTER to return to the main menu.
按Q退出
2.啟動客戶端
root@backlion:~# /var/ossec/bin/ossec-control start
至此,客戶端已經安裝完成且已導入從服務端哪里獲得的Key值,接下來的工作就是要裝一個
五、Web界面安裝
1.下載ossec-wui
[root@localhost ~]#wget http://www.ossec.net/files/ossec-wui-0.X.tar.gz
2.解壓ossec-wui
[root@localhost ~]# tar xf ossec-wui-0.x.tar.gz
3.進入到ossec-wui的安裝目錄
[root@localhost ~]#cd ossec-wui-0.x
[root@localhost ~]# ls
CONTRIB css htaccess_def.txt img index.php js lib LICENSE ossec_conf.php README README.search setup.sh site
4.拷貝目錄下的所有文件到目標/opt/ossec目錄下
[root@localhost ~]# cp -Rf * /opt/ossec/
5.進入到/opt/ossec/目錄
[root@localhost ~]#cd /opt/ossec/
6.進行安裝ossec-wui
[root@localhost ~]#./setup.sh
Setting up ossec ui…
Username: ossec
New password: ossec #輸入密碼
Re-type new password:
Adding password for user ossec
Enter your web server user name (e.g.apache, www, nobody, www-data, …)
apache
Enter your OSSEC install directory path(e.g. /var/ossec)
/var/ossec
You must restart your web server after thissetup is done.
Setup completed successfuly.
7.對ossec.config進行配置,需要添加虛擬目錄
[root@localhost ~]#vi /etc/httpd/conf.d/ossce.conf
Alias /ossec/ "/opt/ossec/"
<Directory "/opt/ossec/">
Options Indexes FollowSymLinks
AllowOverride None
Order allow,deny
Allow from all
# Order deny,allow
# Deny from all
# Allow from 127.0.0.1
AuthName "OSSEC AUTH"
AuthType Basic
AuthUserFile /opt/ossec/.htpasswd
Require valid-user
</Directory>
8.對ossec-wui目錄的權限授權給apache用戶
[root@localhost ~]#chown apache:apache *
9.重新啟動httpd服務
[root@localhost ~]#service httpd restart
六、排查常用命令
1.agent未連接(Disconnected或Never connected)的狀態
/var/ossec/bin/ossec-control restart #重啟ossec服務
netstat -antup|grep ossec #查看端口
/etc/init.d/ossec restart #重啟ossec服務
2.文件描述符限制
linux系統默認最大打開文件數為1024,需要修改內核參數為2048
# ulimit -n 2048
# sysctl -w kern.maxfiles=2048
# sysctl -w net.core.rmem_default=5123840
# sysctl -w net.core.rmem_max = 5123840
3.查看狀態
/var/ossec/bin/agent_control -lc
/var/ossec/bin/list_agents -a
/var/ossec/bin/ossec-control status
4.sendmail郵件發不出,可修改查看主機名是否規范,需要檢查以下地方,修改完畢重啟sendmail即可
[root@ossec-server analogi-master]# cat /etc/hosts
127.0.0.1 localhost localhost.localdomain localhost4 localhost4.localdomain4
::1 localhost localhost.localdomain localhost6 localhost6.localdomain6
127.0.0.1 ossec-server.com
10.10.16.1 ossec-server.com
[root@ossec-server analogi-master]# cat /etc/sysconfig/network
NETWORKING=yes
HOSTNAME=ossec-server.com
[root@ossec-server analogi-master]# hostname
ossec-server.com
七、ossec的配置文件詳解
在unix,linux或者bsd上安裝ossec hids,默認安裝路徑是/var/ossec,在啟動過程中ossec hids會將目錄chroot,並且配置文件和規則也從該目錄讀取,下邊科普下,ossec下目錄結構及各個模塊都有啥用:
#核心配置文件:
ossec.conf #ossec hids主要配置文件
internal_options.conf: #額外配置選項文件
decoders.xml: #文件解碼器,各種規則都在這里寫來調用
client.keys: #用於客戶端與服務器認證通信
/var/ossec/bin #目錄包含ossec hids使用的二進制文件。
/var/ossec/etc #目錄包含所有ossec hids使用的配置文件
#日志文件:
/var/ossec/logs: #包含有關ossec hids所有的日志目錄
ossec.log: #包含osse hids所有日志(error,warn,info和其他)
alerts/alerts.log #ossec hids報警日志
active-responses.log #ossec hids響應日志
#隊列:
/var/ossec/queue #目錄包含ossec hids隊列文件
agent-info #目錄包含操作系統版本、ossec hids版本等信息
syscheck #目錄包含每個agent的數據校驗日志
rootcheck #目錄包含每個agent,rootkit檢查數據和監控規則。
rids #目錄包含agent ids信息
#規則
/var/log/rules #目錄包含所有osse hids規則
/var/log/stats #目錄包含每秒統計數據等文件
了解ossec hids配置文件:
我們將開始了解如何在unix,linux和bsd上本地/服務器進行配置。ossec hids主要配置文件名叫ossec.conf,該文件使用xml表記語言編寫,ossec hids配置文件選擇位於<ossec_config>中,該配置文件包含如下段落:
<global> #全局配置配置
<alerts> #郵件和日志報警選項
<email_alerts> #細力度郵件配置文件
<remote> #該選項只允許在server端配置
<database_output> #數據庫輸出選項
<rules> #包含規則列表
<client> #agent有關配置文件選項
<localfile> #日志文件監控配置選項
<syscheck> #系統檢查配置文件選項
<rootcheck> #rootki發現和規則監控選項
<command> #主機響應配置選項
<active-response> #惡意主機響應配置選項
配置報警級別及收集所有日志:
每個報警都有一個嚴重級別報警等級,ossec的等級是這樣分配的,0到15,15是最高等級,0是最低等級,默認情況下每個警報是從1到15,在ossec hids配置文件選項中報警級別7以上的都會發送郵件報警,如果修改ossec.conf中的報警配置選項,可以修改如下配置:
<ossec_config>
<alerts>
<log_alert_level>2</log_alert_level>
<email_alert_level>8</email_alert_level>
</alerts>
</ossec_config>
上邊的配置文件,只記錄2以上的報警級別日志,並且報警級別高於8以上的報警都會發送郵件。
收集日志:
除了記錄每一條報警和每一個事件記錄外你可以配置ossec hids接收所有日志,配置文件如下:
<ossec_config>
<global>
<logall>yes</logall>
</global>
</ossec_config>
<ossec_config>
配置郵件:
默認情況下,在安裝ossec hids server的時候會提示你配置郵件發信,但這個發信里默認只寫入一條收件人,假如我有多個收件人是不是沒辦法了呢?答案當然不是,ossec hids里可以這樣配置多個收件人,這里以gmail為例子:
<ossec_config>
<email_notification>yes</ email_notification >
<email_to>root@gmail.com< email_to >
<smtp_server>smtp@gmail.com< smtp_server >
<email_from>webmaster@gmail.com</email_from>
<email_maxperhour>20</email_maxperhour>
</global>
</ossec_config>
默認的配置文件是這樣,如添加其他人可以這樣,<email_to>lost@gmail.com</email_to>即可添加lost這個用戶加入收件人列表。如果不需要配置文件怎么辦呢?ossec hids也可以關閉掉郵件選項,設置配置如下:
<ossec_config>
<global>
<email_notifi cation>no</email_notification>
</global>
</ossec_config>
也可以讓某個郵箱只接受特定級別的郵件,配置文件可以這樣寫:
<ossec_config>
<email_alerts>
<email_to>oncall@fakeinc.com</email_to>
<level>10</level>
<format>sms</format>
</email_alerts>
</ossec_config>
安全選項配置:
眾所周知,ossec收集日志的服務也是采用syslog,只不過它會開啟個1514的udp端口來接收數據,這其實和514端口並無差別不是嗎,但為了安全考慮,需要允許指定的機器來連接我們的syslog服務,配置文件可以這樣寫:
<ossec_config>
<remote>
<connection>secure</connection>
<allowed-ips>192.168.10.0/24</allowed-ips>
</remote>
</ossec_config>
上邊的意思就是允許這個網段來連接syslog服務接收數據。
監控文件變化:
ossec還可以做為文件監控來監視網站目錄下的變動情況,ossec檢測文件的時候分為幾個部分:check_all、check_sum、check_size、check_onwer、check_group、check_perm,如果是檢測網站變動的話,可以在ossec.conf里寫入如下配置:
<ossec_config>
<syscheck>
<directoriescheck_all=“yes”>/var/www/htdocs</directories>
</syscheck>
</ossec_config>
<wiz_tmp_tag id="wiz-table-range-border" contenteditable="false" style="display: none;">