OSSES是一個基於主機的入侵檢測系統,它集HIDS、日志監控、安全事件管理於一體
OSSES支持Linux、Solaris、Windows和macOS x 操作系統
OSSES提供如下功能:
文件完整性檢查:例如,通過監控/etc/passwd和/etc/shadow文件,可以知道是否有新增系統用戶或者用戶賬號改變的情況
日志監控:例如,通過監控/var/log/secure日志,可以分析出密碼是否有暴力破解
Rrootkit檢查:通過/sbin , /bin 等系統核心命令執行程序的規則檢查,可以知道是否被替換了惡意程序,發現異常時可以報警處理
首先 我們假設有2台Linux虛擬機,Centos6作為OSSES server ,IP為192.168.23.133 ,Centos7作為OSSES agent ,ip為192.168.23.132
在server和agent都需要先進行IDS的安裝
yum install -y gcc inotify-tools bind-utils
wget -O ossec.2.9.3.tar.gz https://github.com/ossec/ossec-hids/archive/2.9.3.tar.gz
下載完成后解壓安裝歸檔文件,本次我們下載到/usr/src中
下載完成后開始進入ossec-hids-2.9.3 並運行 ./install.sh
選擇cn 中文
繼續配置安裝
后續所有選項我們都默認選Y ,特殊情況根據需求再修改
然后在agent服務器上執行同樣的安裝操作
當所有的安裝完成后 我們再到server上進行配置,設置agent的IP 。通過/var/osses/bin/manage_agents進入配置選項,A表示添加agent
接着輸入agent名字 任意取
agent的ip地址
然后enter確認agent的ID
最后選擇Y確認添加
此時會生成一長串的密鑰 保存好 可以復制下來,然后Q退出server配置 接下來進入Agent配置
選擇I 添加剛才生成的密鑰 放入就行 然后Q退出配置在server和agent啟動OSSEC
/var/ossec/bin/ossec-control start
agent啟動之前需要在/var/ossec/etc/shared 中創建agent.conf文件,在文件中進行簡單的配置如下:
<agent_config>
<localfile>
<localtion>/var/log/my.log</localtion>
<log_format>syslog</log_format>
</localfile>
</agent_config>
配置完成即可啟動
最后通過/var/ossec/bin/ossec-control start 啟動服務器和客戶端的服務,注意server的開啟是否正常
/var/ossec/bin/ossec-control status
