手动安装Ossim-阿里云开发者社区

开发者社区> 技术小胖子> 正文

手动安装Ossim

简介:
+关注继续查看

手动安装Ossim

很多关注《UNIX/Linux网络日志分析与流量监控》一书的朋友都被里面丰富的日志分析案例所吸引,尤其是最后精彩的OSSIM应用案例分析更加引人入胜,很多朋友都在自己的企业网中部署了OSSIM,也有一部分用户希望对OSSIM进行一些二次开发,不想总是依赖ISO镜像方式安装系统,希望能够能定制安装,本节就讲讲如何手动安装OSSIM的主要步骤,阅读本文需要扎实的Debian基础和OSSIM基础。裁剪OSSIM必须了解OSSIM组成,懂得源码编译方式安装OSSIM,至少也需要知道如何手工安装OSSIM ,下面以OSSIM 2.1 32位版本为基础为大家介绍手动安装Ossim的步骤。

1.概述

OSSIM组件:

 。       Databases包括ossim, snort/acid and phpgacl

 。       Server其上运行关联引擎(correlation engine.

 。       Web框架OSSIM的展示Web界面。

 。      代理Agents

以上四大组件既能安装在同一台机器,也能安装在不同的机器,通常DatabasesServerFramework这三个组件安装在同一台机器中,Agents安装在另一台机器作为Sensor角色。

首先需要安装Debian GNU/Linux6.0squeeze),注意必须安装软件开发环境(确保安装dpkg-dev fakeroot),安装完基本系统之后,在/etc/apt/source.list.d/alienvaut3中配置安装源(加入一行debhttp://data.alienvault.com/alienvault3/binary/Packages),下面的安装步骤即可顺利进行。

2.数据库

早期OSSIM使用MySQL数据库存储事件,我们首先进行手工安装

#apt-getinstall mysql-server mysql-client

接下来初始化root密码

#mysqladmin -u root password your_password

注意有关/etc/mysql/my.cnf配置的优化这里就不在解释。

2.1OSSIM数据库

下面手动创建OSSIM数据库结构,首先编辑数据库配置文件/etc/ossim/framework/ossim.conf

# mkdir/etc/ossim/

# cp -r$OSSIM_PATH/contrib/debian/framework /etc/ossim/

然后根据您的配置来调整这些值

ossim_base=ossim

ossim_user=root

ossim_pass=your_password

ossim_host=localhost

ossim_port=3306

OSSIM创建新数据库

# mysql -uroot -p

mysql>create database ossim;

mysql>exit

# cd$OSSIM_PATH/db

# catcreate_mysql.sql | mysql -u root ossim -p

# catossim_data.sql snort_nessus.sql realsecure.sql | mysql -u rootossim -p

2.2Snort/Acid数据库

接着我们需要创建SnortAcid数据库,即使你不需要在Sensor上安装,也必须建立这个数据库作为存储报警使用。

首先你可通过create_mysql.gzcreate_acid-tibls_mysql.sql创建

下面创建snort数据库

# mysql -uroot -p

mysql>create database snort;

mysql>exit;

Snort表:

# cat$SNORT_SOURCE/contrib/create_mysql | mysql -u root -psnort

Acid表:

# cat$ACID_SOURCE/create_acid_tbls_mysql.sql | mysql -u root snort-p

如果你在同一台主机安装也可以使用下面的命令:

# zcat/usr/share/doc/snort-mysql/contrib/create_mysql.gz | mysql -u root-p snort

# cat/usr/share/acidlab/create_acid_tbls_mysql.sql | mysql -u root snort-p

3 服务器组件Server

现在,我们将编译服务器。需要下列包及其各自的依赖关系:

 autoconf :automatic configure script builder (>= 2.59)

 automake : A toolfor generating GNU Standards-compliant Makefiles (>=1.6.3)

 gcc : The GNU Ccompiler (>= 3.3.4)

 libglib2.0-dev :Development files for the GLib library (>= 2.4.7)

 libgda2-dev :Development files for GNOME Data Access lib (>=1.0.4)

 gda2-mysql :MySQL backend plugin for GNOME Data Access lib (>=1.0.4)

 libgnet-dev :Developer files for GNet network library (>= 2.0.4)

通过以下命令进行安装:

# apt-getinstall autoconf automake libglib2.0-dev libgda2-dev gda2-mysqllibgnet2.0-dev

接着执行下面的步骤:

# cd$OSSIM_PATH/

#./autogen.sh

# cdsrc/

#make

# cpossim-server /usr/local/bin/

# cp -r$OSSIM_PATH/etc/server to /etc/ossim

编辑/etc/ossim/server/config.xml文件:

创建日志目录

# mkdir/var/log/ossim

运行Server

#ossim-server -d -c /etc/ossim/server/config.xml

4.框架(Framework)

下面编辑数据库配置:

ossim_type=mysql

ossim_base=ossim

ossim_user=root

ossim_pass=your_password

ossim_host=localhost

ossim_port=3306

接下来配置LAMP环境,并且支持SSL

4.1.Apache + PHP + ADOdb

安装以下包及其各自的依赖关系:

 apache-ssl :Versatile, high-performance HTTP server with SSL support (>=1.3.31)

 php4 : Server-side,HTML-embedded scripting language (>= 4.3.9)

 php4-cgi :Server-side, HTML-embedded scripting language (>=4.3.9)

 libphp-adodb : The’adodb’ database abstraction layer for php (>= 4.52)

# apt-getinstall apache-ssl php4 php4-cgi libphp-adodb

 php4-mysql : MySQLmodule for php4 (>= 4.3.9)

 php4-pgsql :PostgreSQL module for php4 (>= 4.3.8)

 php4-gd2 : GD module(with GD2) for php4 (>= 4.3.2+rc3)

 libphp-phplot : Thegraphic library for php (>= 4.4.6)

 libphp-jpgraph :Object oriented graph library for php4 (>= 1.5.2)

 wwwconfig-common :Debian web auto configuration (>= 0.0.34)

#apt-getinstall php4-mysql php4-pgsql php4-gd2 libphp-phplot libphp-jpgraphwwwconfig-

common

# apt-getinstall php4-domxml php4-xslt

/etc/ossim/framework/ossim.conf确保adodb_path=/usr/share/php/adodb/

4.2phpGACL

phpGACL是一组函数,它允许任何(如用户、远程主机)对象对另外一些(如页面、数据库)对象应用权限控制。

phpGACL提供成熟的权限控制与简单的管理,而且速度也是相当快,OSSIM引入phpGACL,利用它实现用户配置文件管理,主配置文件在/usr/share/ossim/include/ossim_acl.incphpGACL是通过ADODB库来连接数据库的所以他可以方便的连接mysql

4.3RRDtool

OSSIM中使用RRD tool 1.2以上版本,安装:

#apt-getinstall rrdtool librrd0 librrd0-dev librrdp-perllibrrds-perl

4.4MRTG

# apt-getinstall mrtg libsnmp-session-perl

4.5Ntop

你需要以下包:

 ntop : display networkusage in top-like format (>= 3.0)

 libgd-dev : GDGraphics Library (>= 1.8.4)

# apt-getinstall libgd-dev

# apt-getinstall ntop

接着为admin设置密码

# ntop -untop

#/etc/init.d/ntop start

4.6Nmap

OSSIM中的主动服务检测器使用Nmap

# apt-getinstall nmap

4.7PDF报告

FPDF是一个开源工具,它能生成PDF文件。

 php-fpdf : PHP classto generate PDF files (>= 1.52)

# apt-getinstall php-fpdf

5 代理Agents

安装以下包及其各自的依赖关系:

 python : Aninteractive high-level object-oriented language (>=2.3.4)

 python-dev: Headerfiles and a static library for Python (>= 2.3.4)

# apt-getinstall python python-dev

注意必须需要安装python-mysqldb,配置agent目录/etc/ossim/agent/

6.关联引擎和插件Plugins安装

7.其他工具安装

 

  • Pads

PassiveAsset Detection System (http://passive.sourceforge.net/)

 

  • p0f

# apt-getinstall p0f

 

  •  arpwatch

# apt-getinstall arpwatch

详情请关注即将上市的《开源安全运维平台OSSIM最佳实践》一书。






 本文转自 李晨光 51CTO博客,原文链接:http://blog.51cto.com/chenguang/1691090,如需转载请自行联系原作者

版权声明:本文内容由阿里云实名注册用户自发贡献,版权归原作者所有,阿里云开发者社区不拥有其著作权,亦不承担相应法律责任。具体规则请查看《阿里云开发者社区用户服务协议》和《阿里云开发者社区知识产权保护指引》。如果您发现本社区中有涉嫌抄袭的内容,填写侵权投诉表单进行举报,一经查实,本社区将立刻删除涉嫌侵权内容。

相关文章
阿里云服务器怎么设置密码?怎么停机?怎么重启服务器?
如果在创建实例时没有设置密码,或者密码丢失,您可以在控制台上重新设置实例的登录密码。本文仅描述如何在 ECS 管理控制台上修改实例登录密码。
7462 0
CentOS7安装Hadoop集群
http://www.jianshu.com/p/a69972d8a119 安装Hadoop之前,请先安装好zookeeper集群并启动 参考 CentOS7安装Zookeeper集群 我这里准备了三台服务器,一台主机名为hadoop1(做NameNo...
1117 0
阿里云服务器端口号设置
阿里云服务器初级使用者可能面临的问题之一. 使用tomcat或者其他服务器软件设置端口号后,比如 一些不是默认的, mysql的 3306, mssql的1433,有时候打不开网页, 原因是没有在ecs安全组去设置这个端口号. 解决: 点击ecs下网络和安全下的安全组 在弹出的安全组中,如果没有就新建安全组,然后点击配置规则 最后如上图点击添加...或快速创建.   have fun!  将编程看作是一门艺术,而不单单是个技术。
9172 0
centos7安装配置docker
// 安装需要的软件包,yum-util 提供yum-config-manager功能,另外两个是devicemapper驱动依赖的 yum install -y yum-utils device-mapper-persistent-data lvm2 // 设置yum源 yum-config-manager --add-repo http://mirrors.
3739 0
阿里云服务器如何登录?阿里云服务器的三种登录方法
购买阿里云ECS云服务器后如何登录?场景不同,阿里云优惠总结大概有三种登录方式: 登录到ECS云服务器控制台 在ECS云服务器控制台用户可以更改密码、更换系.
10776 0
windows+centos安装
大概半年前自学了一段时间Linux,但没有坚持下来……最近又想开始看,但是希望看到Linux在物理机下的运行情况而不是仅仅在虚拟机下运行,所以尝试着在已经安装了Win7的系统下安装CentOS,实现双系统切换使用的目的。经过大半天的实验,算是成功了,现在把我的方法给大家介绍一下,希望对大家有帮助。   注意:1.由于涉及到对硬盘操作,请妥善备份数据,避免损失。     2.
1304 0
Centos下安装docker
Docker 是一个用于开发、传送和运行应用程序的开放平台。 Docker 使您能够将应用程序与基础设施分开,以便您可以快速交付软件。 使用 Docker,您可以像管理应用程序一样管理基础设施。 通过利用 Docker 的快速交付、测试和部署代码的方法,您可以显着减少编写代码和在生产中运行代码之间的延迟。
78 0
21119
文章
0
问答
文章排行榜
最热
最新
相关电子书
更多
《Nacos架构&原理》
立即下载
《看见新力量:二》电子书
立即下载
云上自动化运维(CloudOps)白皮书
立即下载