手动安装Ossim

本文涉及的产品
云数据库 RDS MySQL,集群系列 2核4GB
推荐场景:
搭建个人博客
RDS MySQL Serverless 基础系列,0.5-2RCU 50GB
RDS MySQL Serverless 高可用系列,价值2615元额度,1个月
简介:

手动安装Ossim

很多关注《UNIX/Linux网络日志分析与流量监控》一书的朋友都被里面丰富的日志分析案例所吸引,尤其是最后精彩的OSSIM应用案例分析更加引人入胜,很多朋友都在自己的企业网中部署了OSSIM,也有一部分用户希望对OSSIM进行一些二次开发,不想总是依赖ISO镜像方式安装系统,希望能够能定制安装,本节就讲讲如何手动安装OSSIM的主要步骤,阅读本文需要扎实的Debian基础和OSSIM基础。裁剪OSSIM必须了解OSSIM组成,懂得源码编译方式安装OSSIM,至少也需要知道如何手工安装OSSIM ,下面以OSSIM 2.1 32位版本为基础为大家介绍手动安装Ossim的步骤。

1.概述

OSSIM组件:

 。       Databases包括ossim, snort/acid and phpgacl

 。       Server其上运行关联引擎(correlation engine.

 。       Web框架OSSIM的展示Web界面。

 。      代理Agents

以上四大组件既能安装在同一台机器,也能安装在不同的机器,通常DatabasesServerFramework这三个组件安装在同一台机器中,Agents安装在另一台机器作为Sensor角色。

首先需要安装Debian GNU/Linux6.0squeeze),注意必须安装软件开发环境(确保安装dpkg-dev fakeroot),安装完基本系统之后,在/etc/apt/source.list.d/alienvaut3中配置安装源(加入一行debhttp://data.alienvault.com/alienvault3/binary/Packages),下面的安装步骤即可顺利进行。

2.数据库

早期OSSIM使用MySQL数据库存储事件,我们首先进行手工安装

#apt-getinstall mysql-server mysql-client

接下来初始化root密码

#mysqladmin -u root password your_password

注意有关/etc/mysql/my.cnf配置的优化这里就不在解释。

2.1OSSIM数据库

下面手动创建OSSIM数据库结构,首先编辑数据库配置文件/etc/ossim/framework/ossim.conf

# mkdir/etc/ossim/

# cp -r$OSSIM_PATH/contrib/debian/framework /etc/ossim/

然后根据您的配置来调整这些值

ossim_base=ossim

ossim_user=root

ossim_pass=your_password

ossim_host=localhost

ossim_port=3306

OSSIM创建新数据库

# mysql -uroot -p

mysql>create database ossim;

mysql>exit

# cd$OSSIM_PATH/db

# catcreate_mysql.sql | mysql -u root ossim -p

# catossim_data.sql snort_nessus.sql realsecure.sql | mysql -u rootossim -p

2.2Snort/Acid数据库

接着我们需要创建SnortAcid数据库,即使你不需要在Sensor上安装,也必须建立这个数据库作为存储报警使用。

首先你可通过create_mysql.gzcreate_acid-tibls_mysql.sql创建

下面创建snort数据库

# mysql -uroot -p

mysql>create database snort;

mysql>exit;

Snort表:

# cat$SNORT_SOURCE/contrib/create_mysql | mysql -u root -psnort

Acid表:

# cat$ACID_SOURCE/create_acid_tbls_mysql.sql | mysql -u root snort-p

如果你在同一台主机安装也可以使用下面的命令:

# zcat/usr/share/doc/snort-mysql/contrib/create_mysql.gz | mysql -u root-p snort

# cat/usr/share/acidlab/create_acid_tbls_mysql.sql | mysql -u root snort-p

3 服务器组件Server

现在,我们将编译服务器。需要下列包及其各自的依赖关系:

 autoconf :automatic configure script builder (>= 2.59)

 automake : A toolfor generating GNU Standards-compliant Makefiles (>=1.6.3)

 gcc : The GNU Ccompiler (>= 3.3.4)

 libglib2.0-dev :Development files for the GLib library (>= 2.4.7)

 libgda2-dev :Development files for GNOME Data Access lib (>=1.0.4)

 gda2-mysql :MySQL backend plugin for GNOME Data Access lib (>=1.0.4)

 libgnet-dev :Developer files for GNet network library (>= 2.0.4)

通过以下命令进行安装:

# apt-getinstall autoconf automake libglib2.0-dev libgda2-dev gda2-mysqllibgnet2.0-dev

接着执行下面的步骤:

# cd$OSSIM_PATH/

#./autogen.sh

# cdsrc/

#make

# cpossim-server /usr/local/bin/

# cp -r$OSSIM_PATH/etc/server to /etc/ossim

编辑/etc/ossim/server/config.xml文件:

创建日志目录

# mkdir/var/log/ossim

运行Server

#ossim-server -d -c /etc/ossim/server/config.xml

4.框架(Framework)

下面编辑数据库配置:

ossim_type=mysql

ossim_base=ossim

ossim_user=root

ossim_pass=your_password

ossim_host=localhost

ossim_port=3306

接下来配置LAMP环境,并且支持SSL

4.1.Apache + PHP + ADOdb

安装以下包及其各自的依赖关系:

 apache-ssl :Versatile, high-performance HTTP server with SSL support (>=1.3.31)

 php4 : Server-side,HTML-embedded scripting language (>= 4.3.9)

 php4-cgi :Server-side, HTML-embedded scripting language (>=4.3.9)

 libphp-adodb : The’adodb’ database abstraction layer for php (>= 4.52)

# apt-getinstall apache-ssl php4 php4-cgi libphp-adodb

 php4-mysql : MySQLmodule for php4 (>= 4.3.9)

 php4-pgsql :PostgreSQL module for php4 (>= 4.3.8)

 php4-gd2 : GD module(with GD2) for php4 (>= 4.3.2+rc3)

 libphp-phplot : Thegraphic library for php (>= 4.4.6)

 libphp-jpgraph :Object oriented graph library for php4 (>= 1.5.2)

 wwwconfig-common :Debian web auto configuration (>= 0.0.34)

#apt-getinstall php4-mysql php4-pgsql php4-gd2 libphp-phplot libphp-jpgraphwwwconfig-

common

# apt-getinstall php4-domxml php4-xslt

/etc/ossim/framework/ossim.conf确保adodb_path=/usr/share/php/adodb/

4.2phpGACL

phpGACL是一组函数,它允许任何(如用户、远程主机)对象对另外一些(如页面、数据库)对象应用权限控制。

phpGACL提供成熟的权限控制与简单的管理,而且速度也是相当快,OSSIM引入phpGACL,利用它实现用户配置文件管理,主配置文件在/usr/share/ossim/include/ossim_acl.incphpGACL是通过ADODB库来连接数据库的所以他可以方便的连接mysql

4.3RRDtool

OSSIM中使用RRD tool 1.2以上版本,安装:

#apt-getinstall rrdtool librrd0 librrd0-dev librrdp-perllibrrds-perl

4.4MRTG

# apt-getinstall mrtg libsnmp-session-perl

4.5Ntop

你需要以下包:

 ntop : display networkusage in top-like format (>= 3.0)

 libgd-dev : GDGraphics Library (>= 1.8.4)

# apt-getinstall libgd-dev

# apt-getinstall ntop

接着为admin设置密码

# ntop -untop

#/etc/init.d/ntop start

4.6Nmap

OSSIM中的主动服务检测器使用Nmap

# apt-getinstall nmap

4.7PDF报告

FPDF是一个开源工具,它能生成PDF文件。

 php-fpdf : PHP classto generate PDF files (>= 1.52)

# apt-getinstall php-fpdf

5 代理Agents

安装以下包及其各自的依赖关系:

 python : Aninteractive high-level object-oriented language (>=2.3.4)

 python-dev: Headerfiles and a static library for Python (>= 2.3.4)

# apt-getinstall python python-dev

注意必须需要安装python-mysqldb,配置agent目录/etc/ossim/agent/

6.关联引擎和插件Plugins安装

7.其他工具安装

 

  • Pads

PassiveAsset Detection System (http://passive.sourceforge.net/)

 

  • p0f

# apt-getinstall p0f

 

  •  arpwatch

# apt-getinstall arpwatch

详情请关注即将上市的《开源安全运维平台OSSIM最佳实践》一书。






 本文转自 李晨光 51CTO博客,原文链接:http://blog.51cto.com/chenguang/1691090,如需转载请自行联系原作者

相关实践学习
如何在云端创建MySQL数据库
开始实验后,系统会自动创建一台自建MySQL的 源数据库 ECS 实例和一台 目标数据库 RDS。
全面了解阿里云能为你做什么
阿里云在全球各地部署高效节能的绿色数据中心,利用清洁计算为万物互联的新世界提供源源不断的能源动力,目前开服的区域包括中国(华北、华东、华南、香港)、新加坡、美国(美东、美西)、欧洲、中东、澳大利亚、日本。目前阿里云的产品涵盖弹性计算、数据库、存储与CDN、分析与搜索、云通信、网络、管理与监控、应用服务、互联网中间件、移动服务、视频服务等。通过本课程,来了解阿里云能够为你的业务带来哪些帮助     相关的阿里云产品:云服务器ECS 云服务器 ECS(Elastic Compute Service)是一种弹性可伸缩的计算服务,助您降低 IT 成本,提升运维效率,使您更专注于核心业务创新。产品详情: https://www.aliyun.com/product/ecs
相关文章
|
JavaScript Java Linux
linux系统安装和配置kibana管理工具
版权声明:本文为博主原创文章,如需转载,请标明出处。 https://blog.csdn.net/alan_liuyue/article/details/78824089 简介   Kibana是一个针对Elasticsearch的开源分析及可视化平台,用来搜索、查看交互存储在Elasticsearch索引中的数据。
1605 0
|
监控 关系型数据库 MySQL