`

Linux环境下安装OSSEC

阅读更多

一、服务端安装

1. 上传ossec-hids-2.4.1.tar.gz至/home目录

2. 安装ossec

#tar -zxvf ossec-hids-2.4.1.tar.gz
#cd ossec-hids-2.4.1
#./install.sh

 

1)选择语言类型:
  ** Para instalação em português, escolha [br].
  ** 要使用中文进行安装, 请选择 [cn].
  ** Fur eine deutsche Installation wohlen Sie [de].
  ** Για εγκατάσταση στα Ελληνικά, επιλέξτε [el].
  ** For installation in English, choose [en].
  ** Para instalar en Español , eliga [es].
  ** Pour une installation en français, choisissez [fr]
  ** Per l'installazione in Italiano, scegli [it].
  ** 日本語でインストールします.選択して下さい.[jp].
  ** Voor installatie in het Nederlands, kies [nl].
  ** Aby instalować w języku Polskim, wybierz [pl].
  ** Для инструкций по установке на русском ,введите [ru].
  ** Za instalaciju na srpskom, izaberi [sr].
  ** Türkçe kurulum için seçin [tr].
  (en/br/cn/de/el/es/fr/it/jp/nl/pl/ru/sr/tr) [en]:en

 

2)按回车继续:
 OSSEC HIDS v2.4.1 Installation Script - http://www.ossec.net

 You are about to start the installation process of the OSSEC HIDS.
 You must have a C compiler pre-installed in your system.
 If you have any questions or comments, please send an e-mail
 to dcid@ossec.net (or daniel.cid@gmail.com).

  - System: Linux linux 2.6.5-7.308-smp
  - User: root
  - Host: linux


  -- Press ENTER to continue or Ctrl-C to abort. --

 

3)选择安装的为服务器端:
1- What kind of installation do you want (server, agent, local or help)? server

  - Server installation chosen.

2- Setting up the installation environment.

 - Choose where to install the OSSEC HIDS [/var/ossec]: /var/ossec

    - Installation will be made at  /var/ossec .

 

4)配置OSSEC的邮件通知、response及remote syslog

3- Configuring the OSSEC HIDS.

  3.1- Do you want e-mail notification? (y/n) [y]: y
   - What's your e-mail address? root@localhost

   - We found your SMTP server as: 127.0.0.1
   - Do you want to use it? (y/n) [y]: y

   --- Using SMTP server:  127.0.0.1

  3.2- Do you want to run the integrity check daemon? (y/n) [y]: y

   - Running syscheck (integrity check daemon).

  3.3- Do you want to run the rootkit detection engine? (y/n) [y]: y

   - Running rootcheck (rootkit detection).

  3.4- Active response allows you to execute a specific
       command based on the events received. For example,
       you can block an IP address or disable access for
       a specific user.
       More information at:
       http://www.ossec.net/en/manual.html#active-response

   - Do you want to enable active response? (y/n) [y]: y

     - Active response enabled.

   - By default, we can enable the host-deny and the
     firewall-drop responses. The first one will add
     a host to the /etc/hosts.deny and the second one
     will block the host on iptables (if linux) or on
     ipfilter (if Solaris, FreeBSD or NetBSD).
   - They can be used to stop SSHD brute force scans,
     portscans and some other forms of attacks. You can
     also add them to block on snort events, for example.

   - Do you want to enable the firewall-drop response? (y/n) [y]: y

     - firewall-drop enabled (local) for levels >= 6

   - Default white list for the active response:
      - 10.30.18.100
      - 10.30.1.10

   - Do you want to add more IPs to the white list? (y/n)? [n]: y
   - IPs (space separated): 10.16.26.199 10.16.26.66

  3.5- Do you want to enable remote syslog (port 514 udp)? (y/n) [y]: y

   - Remote syslog enabled.

  3.6- Setting the configuration to analyze the following logs:
    -- /var/log/messages
    -- /var/log/mail.info

 - If you want to monitor any other file, just change
   the ossec.conf and add a new localfile entry.
   Any questions about the configuration can be answered
   by visiting us online at http://www.ossec.net .


   --- Press ENTER to continue ---

5)按回车开始安装

 

3. 启动服务器

#/var/ossec/bin/ossec-control start

启动成功之后提示:

Starting OSSEC HIDS v2.4.1 (by Trend Micro Inc.)...
Started ossec-maild...
Started ossec-execd...
Started ossec-analysisd...
Started ossec-logcollector...
Started ossec-remoted...
Started ossec-syscheckd...
Started ossec-monitord...
Completed.

 

4. 停止服务器

#/var/ossec/bin/ossec-control stop

 

二、客户端安装

1. 安装ossec,双击ossec-agent-win32-2.4.1.exe进行安装
2. 安装过程中所有选择都采用默认方式进行安装
3. 配置客户端
在ip中输入server的ip地址
Key需要在服务器上生成

4. 在服务器端添加agent
1) 进入OSSEC的安装目录并添加agent
#cd /var/ossec/bin
#./manage_agents
2) 选择添加一个Agent
****************************************
* OSSEC HIDS v2.4.1 Agent manager.     *
* The following options are available: *
****************************************
   (A)dd an agent (A).
   (E)xtract key for an agent (E).
   (L)ist already added agents (L).
   (R)emove an agent (R).
   (Q)uit.
Choose your action: A,E,L,R or Q: A
3) 填写Agent的名称、ip地址及序号
- Adding a new agent (use '\q' to return to the main menu).
  Please provide the following:
   * A name for the new agent: zzt
   * The IP Address of the new agent: 10.16.26.199
   * An ID for the new agent[001]: 001
Agent information:
   ID:001
   Name:zzt
   IP Address:10.16.26.199

Confirm adding it?(y/n): y
Agent added.


5 生成key在服务器端生成key
****************************************
* OSSEC HIDS v2.4.1 Agent manager.     *
* The following options are available: *
****************************************
   (A)dd an agent (A).
   (E)xtract key for an agent (E).
   (L)ist already added agents (L).
   (R)emove an agent (R).
   (Q)uit.
Choose your action: A,E,L,R or Q: E

Available agents:
   ID: 001, Name: zzt, IP: 10.16.26.199
Provide the ID of the agent to extract the key (or '\q' to quit): 001

Agent key information for '001' is:
MDAxIHp6dCAxMC4xNi4yNi4xOTkgOWI4YTY1NWI3ZjhkY2Y5MDJmZmI2ZGQxZmY4YzgyOGY4YzA5ZmQ3ZTBmMDY4NTVlNDI4Y2VkZDI4OTUzOTBhMQ==

** Press ENTER to return to the main menu.

 

6. 拷贝key文件到客户端并点击保存并确定

 

7. 运行客户端
点击Manage - Start OSSEC

 

 三、配置服务器端的远程日志

1. 配置remote syslog 服务器
1)停止ossec服务器
#/var/ossec/bin/ossec-control stop
2)修改/var/ossec/etc/ossec.conf
在/var/ossec/etc/ossec.conf文件中添加
  <global>
    ……
  </global>
 
  <syslog_output>
    <server>10.16.13.213</server>    
  </syslog_output>


如果需要将不同级别的警告信息添加到不同的服务器上,可以做如下配置
  <global>
    ……
  </global>
 
  <syslog_output>
    <server>10.16.13.213</server>   
  </syslog_output>
  <syslog_output>
    <level>10</level>
    <server>10.16.13.213</server>   
  </syslog_output>
3)配置syslog并启动ossec
# /var/ossec/bin/ossec-control enable client-syslog
# /var/ossec/bin/ossec-control start
启动后会看到在配置的远程syslog日志文件中看到如下信息:

Jul  1 07:54:35 10.16.26.66 ossec: Alert Level: 3; Rule: 501 - New ossec agent connected.; Location: (zzt) 10.16.26.199->ossec;  ossec: Agent started: 'zzt->10.16.26.199'.

 

说明:在安装OSSEC之前请确定已经安装了GCC。

 

附件给出了与安装相关文件,包括GCC的安装包(按以下顺序进行安装):

glibc-2.3.3-98.94.i586.rpm
glibc-devel-2.3.3-98.94.i586.rpm
gcc-3.3.3-43.54.i586.rpm
gcc-info-3.3.3-43.54.i586.rpm
libstdc++-3.3.3-43.54.i586.rpm
libstdc++-devel-3.3.3-43.54.i586.rpm
gcc-c++-3.3.3-43.54.i586.rpm

  • 大小: 21.2 KB
  • 大小: 21.6 KB
  • 大小: 9 KB
  • 大小: 19.3 KB
  • 大小: 4.7 KB
分享到:
评论
1 楼 zhangzhenting 2010-08-25  
路径:jboss-4.0.5.GA\server\default\deploy\jbossweb-tomcat55.sar\server.xml
12:      <Connector port="80" address="0.0.0.0" URIEncoding="UTF-8"
原端口号 8080

路径:jboss-4.0.5.GA\server\default\conf\jboss-service.xml
203:      <attribute name="Port">8084</attribute> 原端口号8083
234:      <attribute name="Port">8099</attribute> 原端口号1099
240:      <attribute name="RmiPort">8098</attribute> 原端口号1098
371:      <attribute name="RMIObjectPort">8444</attribute> 原端口号4444
395:      <attribute name="ServerBindPort">8445</attribute> 原端口号4445

相关推荐

    Ossec IDS with Elasticsearch安装部署手册

    OSSEC是一款开源的入侵检测系统,支持Windows、Linux、OpenBSD/FreeBSD以及Mac OS等多种操作系统平台。它具备以下四大核心功能: 1. **文件目录检测**:监视系统关键文件和目录,一旦发现未授权的改变即可发出警报。...

    Syngress.OSSEC.Host.Based.Intrusion.Detection.Guide.Feb

    - **环境准备**:首先需要准备好操作系统环境,通常OSSEC支持各种Linux发行版及类Unix系统。 - **安装过程**:通过下载官方提供的安装包或使用包管理器进行安装。 - **配置文件**:主要配置文件为`ossec.conf`,其中...

    ossec-hids-3.6.0 源码

    OSSEC是开源的入侵检测系统(HIDS,Host-based Intrusion Detection System),它监控系统活动并提供实时告警,帮助用户保护其Linux和Windows服务器免受恶意攻击。3.6.0是该软件的最新版本,包含了最新的安全更新和...

    ossec-hids-2.8.2.zip

    安装完成后,需要根据您的环境配置OSSEC的规则和警报设置,以确保它能有效地保护您的系统。 为了确保最佳的保护效果,使用OSSEC时,应定期更新其规则库,以应对新的威胁和漏洞。此外,理解和解读OSSEC产生的警报至...

    涂宏伟-OSSEC与webshell监控探索.pdf

    包括需要考虑在Linux环境下agent的文件备份和变更内容的长度限制,以及如何应对可能存在的绕过检测的风险和漏报情况。在此基础上,他建议采取多样化的检测方法和透明化的检测规则,以及将安全控制颗粒化,以更好地...

    Linux+Windows入侵检测报告.rar

    2. **Linux入侵检测**:在Linux环境中,入侵检测可能涉及审计日志分析、文件完整性检查、网络流量监控等。例如,利用`auditd`服务进行系统调用跟踪,使用`tripwire`检查文件系统完整性,通过`Snort`等工具监测网络...

    LINUX入侵检测

    对于Linux环境,我们将重点讨论HIDS,因为它直接监控系统活动,提供更细致的本地安全视图。 **基于主机的入侵检测系统(HIDS)** HIDS通过监视系统日志、文件系统更改以及进程行为来识别潜在的攻击。当检测到异常...

    第5次网安实验1

    【网络安全实验 - 入侵检测】本次实验重点在于学习和应用 OSSEC 代理在不同操作系统环境下的安装与配置,以及熟练使用 PuTTY 进行远程机器连接。OSSEC 是一个开源的主机入侵检测系统(HIDS),它能够监控系统日志、...

    系统日志批量收集分析(Linux).zip

    总结来说,系统日志批量收集分析涉及到Linux环境下日志的集中管理、过滤、分析和安全监控。通过合理利用各种工具和脚本,IT专业人员可以有效地监控系统健康状况,及时发现并解决问题,从而提升系统的稳定性和安全性...

    关于Linux 应急响应手册v1.0发行版的介绍说明.zip

    这份Linux应急响应手册v1.0发行版不仅提供技术指导,还可能包含最佳实践、案例研究和推荐资源,帮助读者更好地理解和应对Linux环境中的安全挑战。对于任何Linux系统管理员或安全专业人员来说,都是一份不可或缺的...

    进程服务端口文件监控

    此外,还有一些第三方工具,如Tripwire和OSSEC,提供更全面的文件完整性检查和入侵检测功能。 综上所述,"进程服务端口文件监控"是一个综合性的系统管理实践,它涵盖了对操作系统内部运作的全面洞察,以确保系统的...

    云服务器数据安全保护软件项目询价文件.doc

    云服务器数据安全保护软件项目询价文件 一、项目编号:计算机学院2017【009】号 二、项目名称:云服务器数据安全保护软件 三、采购预算:12.1万元 四、采购设备清单与技术参数 " 指标项 "需求说明 " "系统环境 " ...

    一个优秀IT开发人员必看的技术文档

    在Linux平台下部署JDK通常涉及到下载安装包、配置环境变量、运行测试程序等步骤。正确部署JDK是运行Java程序的先决条件。 十、负载均衡器小结 负载均衡器是提高网络性能和服务可用性的关键设备,它可以将传入的网络...

    unix power tools 3ed.pdf

    - **图形界面应用**: 在Unix环境下安装和使用图形界面软件的方法。 #### 三、文件和目录操作 (Part III: Working with Files and Directories) **3.1 目录组织 (Chapter 7: Directory Organization)** - **文件...

    wazuh-ruleset:Wazuh-规则集

    Wazuh最初基于OSSEC(Open Source Security Information and Event Management),随着时间的推移,它已经发展成为一个全面的安全平台,尤其适合那些需要遵循PCI-DSS(Payment Card Industry Data Security Standard...

    利用静态分析加固开源入侵检测系统(IDS)的最佳实践

    安全洋葱(Security Onion)是由Doug Burks维护的集成安全工具的Linux发行版,包含了全面的数据包捕获工具、NIDS、HIDS以及一系列分析工具,如netsniff-ng、Snort、Suricata、Bro、OSSEC、Sguil、Squert、Snorby和ELSA...

Global site tag (gtag.js) - Google Analytics