OHID OSSEC 安装指南

简介:

OHID OSSEC 安装指南

   2006-xx-1 V1.0
 
一.概述
OSSEC 
是一款很优秀的主机型入侵检测和防护系统它可以执行文件系统完整性检查, rootkit 检查和系统日志监控它通过对系统日志的分析可以检测出绝大多数的攻击当其跟IPLOG集成后还可以检测和对付端口扫描忽悠nmap之类的端口扫描软件使其不能判断出目标系统的OS类型.
二.安装
1. 
下载软件:从[url]http://www.ossec.net[/url] 上下载最新的OSSEC
          源代码包;
2. 安装服务器:
   1). 
选择一台服务器作为OSSEC服务器;
   2). OSSEC源代码包拷贝到该服务器并解压;
   3). 进入OSSEC目录并运行install.sh开始安装;
   4). 在提示输入安装类型时,输入server;
   5). 在提示输入安装路径时,输入/opt/ossec;
   6). 在提示是否希望接收E-MAIL通告时接受默认值并在接下来的提示中依次输入用来接收OSSEC 通告的E-MAIL地址邮件服务器的名字或IP地址;
   7). 其它提示接受默认值;
3. 安装代理:
   1). OSSEC源代码包拷贝到某台欲在其上安装OSSEC代理的linux服务器上并解压;
   2). 进入OSSEC目录并运行install.sh开始安装;
    3). 在提示输入安装类型时,输入agent;
   4). 在提示输入安装路径时,输入/opt/ossec;
   5). 在提示输入服务器IP地址时输入我们的OSSEC服务器的IP
    址;
   6). 其它提示接受默认值;
   在欲在其上安装OSSEC代理的所有linux服务器执行1) – 6)
三.配置
1.        OSSEC服务器上运行 /opt/ossec/bin/manage-agents;
2.        在某个OSSEC代理上运行 /opt/ossec/bin/manage-agents;
3.        OSSEC服务器的主菜单下输入A/a 增加一个代理为该代理输入一个容易区别的名字(比如其hostname), 并输入其IP 地址;
4.        在主菜单下输入E/e 为该代理生成密钥;
5.        在该OSSEC代理的主菜单下输入I/i 准备导入OSSEC服务器生成的密钥;
6.        OSSEC服务器生成的密钥复制到OSSEC代理;
7.        Q/q键退出OSSEC服务器和代理并重新启动OSSEC服务器和代理(分别在OSSEC服务器和代理所在的服务器上执行/etc/init.d/ossec restart)
在欲在其上配置OSSEC代理的所有linux服务器执行2) – 7)
四.IPLOG集成
(
). 安装 IPLOG
    1. 
[url]http://rpmfind.net[/url] 上查找并下载iplogRPM
       (版本2.2.3 );
    2. 
将该包安装到所有欲检测和防护端口扫描的OSSEC 代理上;
            3. 将附录中的/etc/iplog.conf 文件拷贝为OSSEC代理所在服务器
        的/etc/iplog.conf, 并作相应修改;
            4. 启动IPLOG, /etc/init.d/iplog start
   (). 配置
        1. 修改/opt/ossec/etc/decoder.xml, 在其末尾增加如下配置:
           <!--                user-defined decoders             -->
<decoder name="iplog-scan">
 <prematch>\S+ scan detected</prematch>
 <regex offset="after_prematch">\S+ \S+ from (\S+)</regex>
 <order>srcip</order>
</decoder> 
     2. /opt/ossec/rules目录下增加一个文件iplog_rules.xml, 其所有关系为ossec:root, 其内容为:
        <group name="syslog,errors,">
          <rule id="99990" level="7">
    <decoded_as>iplog-scan</decoded_as>
    <description>iplog scan detect</description>
   </rule>
</group>
     3. 修改/opt/ossec/ossec.conf,
<include>部分的末尾增加如下行:
         <include>iplog_rules.xml</include>
        <localfile>部分增加如下行:
         <localfile>
          <log_format>syslog</log_format>
          <location>/var/log/iplog</location>
         </localfile>
     4. 重新启动ossec: /etc/init.d/ossec restart
五.提示
1. 
可以在/opt/ossec/ossec.conf 里面配置OSSEC处理哪些日志文件;
2. 可以在/opt/ossec/ossec.conf 里面配置OSSEC在什么情况下告警在什么情况下执行主动响应;
3. 如果没有经过十分充分的测试不要开启主动响应;
六.附录
1. /etc/iplog.conf
         user nobody
group nobody
 
pid-file /tmp/iplog.pid
 
logfile /var/log/iplog
facility log_daemon
priority log_info
    
set log_ip true
set log_dest false
set ignore_dns
    
# -- modify this section according your need -- #
#interface eth0,eth1
interface eth0
    
#promisc 0.0.0.0/0.0.0.0
    
log tcp dport 1045:1055 sport ftp-data
    
#ignore udp from 192.168.0.2 sport 53
ignore tcp dport 1024: sport 20
ignore tcp dport 80
ignore icmp type unreach
ignore icmp type !echo
ignore udp from 127.1.2/24
ignore udp from 127.1.2/255.255.255.0
# --------------------------------------------- #
    
# Port Scan Check
set portscan true
set icmp true
set frag true
set smurf true
set bogus true
set fin_scan true
set syn_scan true
set udp_scan true
set fool_nmap true
set xmas_scan true
set null_scan true
set ping_flood true
set traceroute true


本文转自zkjian517 51CTO博客,原文链接:http://blog.51cto.com/zoukejian/56583

相关文章
openvpn安装文档
openvpn通过使用公开密钥(非对称密钥,加密解密使用不同的key,一个称为Publice key,另外一个是Private key)对数据进行加密的。这种方式称为TLS加密。openvpn使用TLS加密的工作过程是,首先VPN Sevrver端和VPN Client端要有相同的CA证书,双方通过交换证书验证双方的合法性,用于决定是否建立VPN连接。然后使用对方的CA证书,把自己目前使用的数据加密方法加密后发送给对方,由于使用的是对方CA证书加密,所以只有对方CA证书对应的Private key才能解密该数据,这样就保证了此密钥的安全性,并且此密钥是定期改变的。
2684 0
|
11月前
|
Ubuntu
Ubuntu安装Jpom
Ubuntu安装Jpom
129 0
|
IDE Linux 开发工具
Linux本地RStudio工具安装指南及远程访问配置安装RStudio Server
Linux本地RStudio工具安装指南及远程访问配置安装RStudio Server
396 1
|
程序员
dokuwiki安装问题
工作了几年,虽然在程序员这个道路上才算开始,希望以后能够有所成长,为了把平时遇到的技术问题,记录下来,第一个想到的就是写wiki,博客虽然创建了许久,但是没有坚持写下去,在网上找了许多的wiki程序,dokuwiki是最符合的。
2023 0
|
Ubuntu Shell Linux
Ubuntu安装WDCP遇到的无法便于错误解决方法
WDCP v3.2安装 WDCP支持CentOS系统下安装,包括了32bit或者64bit,最新版本建议在6.x以上版本使用,源码安装命令为:   wget http://dl.wdlinux.cn/lanmp_laster.
1586 0
|
关系型数据库 MySQL PHP
|
PHP Apache 数据安全/隐私保护