亚洲视频二区_亚洲欧洲日本天天堂在线观看_日韩一区二区在线观看_中文字幕不卡一区

前言

OSSEC是一款開源的多平臺的入侵檢測系統，可以運行于windows, linux, OpenBSD/FreeBSD, 以及 macOS等操作系統中。包括了日志分析，全面檢測，root-kit檢測。網上能找到關于OSSEC的安裝教程與詳細使用并不多，本人實測，沒有一個教程能完整照著文檔的步驟安裝成功吧。在安裝過程中會存在許多坑等你來填。對于Linux并不是那么熟的人來說，OSSEC的安裝并不容易，所以就有必要把OSSEC的安裝教程重寫一遍了。一是自己對OSSEC的安裝做一個復習與總結，二也是希望能夠幫助大家能快速上手這款功能強大的OSSEC入侵檢測系統，畢竟商業版的IDS確定很貴的。大部分個人是無法承受的。

一、準備工作

服務端：

準備好：centos6 64位（必須是Centos6 新機器）。

內存不小于: 1GB以上。

硬盤：20GB以上。

本次安裝機器的IP：108.61.119.62

二、安裝過程

2.1、關閉防火墻，因為ossec通信需要是用udp 514,1514端口等等端口對外，Agent才能上線。為了方便演示，咱們先直接關閉防火墻即可。

Centos 6關閉防火墻方式

• service iptables stop #臨時關閉防火墻
• chkconfig iptables off #徹底關閉系統防火墻
• service iptables status #查看防火墻的狀態

[root@vultr ~]# service iptables stop 
iptables: Setting chains to policy ACCEPT: filter [ OK ]
iptables: Flushing firewall rules: [ OK ]
iptables: Unloading modules: [ OK ]
[root@vultr ~]# chkconfig iptables off 
[root@vultr ~]# 

2.2、防火墻關閉好了后，我們來接著安裝一些必要的工具：

• 如下應用： wget、gcc、make、MySQL、mysql-server、mysql-devel、httpd、php、php-mysql、sendmail

使用以下命令一鍵快速安裝:：

yum install wget gcc make mysql mysql-server mysql-devel httpd php php-mysql sendmail

2.3、沒有報錯即相應軟件包安裝完成：

OSSEC

2.4、啟動httpd、mysql、sendmail這三個服務：

命令:

[root@ossec-server ~] /etc/init.d/httpd start
[root@ossec-server ~] /etc/init.d/mysqld start
[root@ossec-server ~] /etc/init.d/sendmail start

2.5、創建OSSEC數據庫

命令:

[root@ossec-server ~] mysql -uroot -p
mysql> create database ossec;
mysql> grant INSERT,SELECT,UPDATE,CREATE,DELETE,EXECUTE on ossec.* to ossec@localhost;
mysql> set password for ossec@localhost =PASSWORD('ossec');
mysql> flush privileges;
mysql> exit

上面SQL的語句意思是新建一個ossec的用戶，密碼為：ossec，只可以在localhost上登錄，ossec用戶可以對ossec的所有表進行插入、查詢、修改、插入、刪除的操作。

2.6、下載OSSEC服務端

wget https://github.com/ossec/ossec-hids/archive/2.8.1.tar.gz
tar zxf 2.8.1.tar.gz
cd ossec-hids-2.8.1/

2.7、使OSSEC支持Mysql

cd src; make setdb; cd ..

看到如下的信息說明可以正常支持MySQL：

2.8、正式安裝OSSEC服務端

執行install.sh腳本，根據提示的選項填寫，看我的：

 OSSEC HIDS v2.8 安裝腳本 - http://www.ossec.net
 您將開始 OSSEC HIDS 的安裝.
 請確認在您的機器上已經正確安裝了 C 編譯器.
 如果您有任何疑問或建議,請給 [email protected] (或 [email protected]) 發郵件.
 - 系統類型: Linux vultr.guest 2.6.32-754.6.3.el6.x86_64
 - 用戶: root
 - 主機: vultr.guest
 -- 按 ENTER 繼續或 Ctrl-C 退出. --
1- 您希望哪一種安裝 (server, agent, local or help)? server
 - 選擇了 Server 類型的安裝.
2- 正在初始化安裝環境.
 - 請選擇 OSSEC HIDS 的安裝路徑 [/var/ossec]: /var/ossec
 - OSSEC HIDS 將安裝在 /var/ossec .
3- 正在配置 OSSEC HIDS.
 3.1- 您希望收到e-mail告警嗎? (y/n) [y]: n
 --- Email告警沒有啟用 .
 3.2- 您希望運行系統完整性檢測模塊嗎? (y/n) [y]: y
 - 系統完整性檢測模塊將被部署.
 3.3- 您希望運行 rootkit檢測嗎? (y/n) [y]: y
 - rootkit檢測將被部署.
 3.4- 關聯響應允許您在分析已接收事件的基礎上執行一個
 已定義的命令.
 例如,你可以阻止某個IP地址的訪問或禁止某個用戶的訪問權限.
 更多的信息,您可以訪問:
 http://www.ossec.net/en/manual.html#active-response
 - 您希望開啟聯動(active response)功能嗎? (y/n) [y]: n
 - 聯動功能(Active response)被關閉.
 3.5- 您希望接收遠程機器syslog嗎 (port 514 udp)? (y/n) [y]: y
 - 遠程機器syslog將被接收.
 3.6- 設置配置文件以分析一下日志:
 -- /var/log/messages
 -- /var/log/secure
 -- /var/log/maillog
 -- /var/log/httpd/error_log (Apache log)
 -- /var/log/httpd/access_log (apache log) 
 -如果你希望監控其他文件, 只需要在配置文件ossec.conf中
 添加新的一項. 
 任何關于配置的疑問您都可以在 http://www.ossec.net 找到答案.
 --- 按 ENTER 以繼續 ---
回車

…………省略編譯輸出…………

安裝完成將會輸出以下：

- 系統類型是 Redhat Linux.
 - 修改啟動腳本使 OSSEC HIDS 在系統啟動時自動運行 
 - 已正確完成系統配置.
 - 要啟動 OSSEC HIDS:
 /var/ossec/bin/ossec-control start
 - 要停止 OSSEC HIDS:
 /var/ossec/bin/ossec-control stop
 - 要查看或修改系統配置,請編輯 /var/ossec/etc/ossec.conf
 感謝使用 OSSEC HIDS.
 如果您有任何疑問,建議或您找到任何bug,
 請通過　[email protected] 或郵件列表 [email protected] 聯系我們. 
 ( http://www.ossec.net/en/mailing_lists.html ).
 您可以在　http://www.ossec.net 獲得更多信息
 --- 請按　ENTER 結束安裝 (下面可能有更多信息). ---
 - 為使代理能夠聯接服務器端, 您需要將每個代理添加到服務器.
 允許'manage_agents'來添加活刪除代理:
 /var/ossec/bin/manage_agents
 詳細信息請參考: 
 http://www.ossec.net/en/manual.html#ma

2.9、啟用數據庫支持:

/var/ossec/bin/ossec-control enable database

2.9.1、然后導入MySQL表結構到MySQL中

mysql -uossec -p ossec < ./src/os_dbd/mysql.schema

2.9.2、修改部分配置文件的權限，否則會啟動服務失?。?/strong>

 chmod u+w /var/ossec/etc/ossec.conf

2.9.3、然后我們編輯/var/ossec/etc/ossec.conf文件，在ossec_config中添加如下MySQL配置：

 <database_output>
 <hostname>108.61.119.62</hostname>
 <username>ossec</username>
 <password>ossec</password>
 <database>ossec</database>
 <type>mysql</type>
 </database_output>

2.9.4、OSSEC支持接受遠程機器的syslog，所以還需要對ossec.conf文件中的syslog部分進行配置，修改/var/ossec/etc/ossec.conf文件，按照下面的內容進行修改，把我們的客戶端（Agent）的網段可以全添加進去：

 <remote>
 <connection>syslog</connection>
 <allowed-ips>192.168.0.0/16</allowed-ips>
 </remote>

 

2.9.5、 服務器上添加客戶端，創建客戶端Key

執行如下命令：

[root@vultr etc]# /var/ossec/bin/manage_agents
****************************************
* OSSEC HIDS v2.8 Agent manager. *
* The following options are available: *
****************************************
 (A)dd an agent (A).
 (E)xtract key for an agent (E).
 (L)ist already added agents (L).
 (R)emove an agent (R).
 (Q)uit.
Choose your action: A,E,L,R or Q: A
- Adding a new agent (use 'q' to return to the main menu).
 Please provide the following:
 * A name for the new agent: ossec-agent
 * The IP Address of the new agent: 192.168.80.32
 * An ID for the new agent[001]: 001
Agent information:
 ID:001
 Name:ossec-agent
 IP Address:192.168.80.32
Confirm adding it?(y/n): Y
Agent added.
****************************************
* OSSEC HIDS v2.8 Agent manager. *
* The following options are available: *
****************************************
 (A)dd an agent (A).
 (E)xtract key for an agent (E).
 (L)ist already added agents (L).
 (R)emove an agent (R).
 (Q)uit.
Choose your action: A,E,L,R or Q: E 
Available agents: 
 ID: 001, Name: ossec-agent, IP: 192.168.80.32
Provide the ID of the agent to extract the key (or 'q' to quit): 001
Agent key information for '001' is: 
MDAxIG9zc2VjLWFnZW50IDE5Mi4xNjguODAuMzIgZTU4ZThhMWU3YTZjYzhhMzVlYmQwNDg1YWQxZjhkMGU2YTIxM2QyZGZjYjE3NTdmZDczMWJhYjEwM2FkZmUyNw==
** Press ENTER to return to the main menu.
?

客戶的Key，用于后面的客戶端的連接，需要記錄保存。

2.9.6、 啟動ossec服務端，到此安裝完成

[root@vultr etc]# /var/ossec/bin/ossec-control start
Starting OSSEC HIDS v2.8 (by Trend Micro Inc.)...
Started ossec-dbd...
2019/04/05 19:59:01 ossec-maild: INFO: E-Mail notification disabled. Clean Exit.
Started ossec-maild...
Started ossec-execd...
Started ossec-analysisd...
Started ossec-logcollector...
Started ossec-remoted...
Started ossec-syscheckd...
Started ossec-monitord...
Completed.