`
Fangrn
  • 浏览: 818170 次
  • 性别: Icon_minigender_1
  • 来自: 北京
社区版块
存档分类
最新评论

【转载】ossec主机入侵检查系统架设

阅读更多

一.OSSEC简要介绍:
  OSSEC 是一款开源的入侵检测系统,包括了日志分析,全面检测,rook-kit检测。作为一款HIDS,OSSEC应该被安装在一台实施监控的系统中。另外有时 候不需要安装完全版本得OSSEC,如果有多台电脑都安装了OSSEC,那么就可以采用客户端/服务器模式来运行。客户机通过客户端程序将数据发回到服务 器端进行分析。在一台电脑上对多个系统进行监控对于企业或者家庭用户小游戏来说都是相当经济实用的。
  对我来说OSSEC最大的优势在于它几乎 可以运行在任何一种操作系统上,比如Windows, Linux, OpenBSD/FreeBSD, 以及 MacOS。不过运行在Windows上的客户端无法实现root-kit检测,而其他系统上的客户端都没有问题。OSSEC的手册上说OSSEC目前还 不支持Windows系统下得root-kit检测
  二.安装
  1. 安装所需软件:Basically, for Unix systems, ossec just requires gcc and glibc.
  下载软件:从http://www.ossec.net 上下载最新的OSSEC
  源代码包;
  2. 安装服务器:
  1). 选择一台服务器作为OSSEC服务器;
  2). 将OSSEC源代码包拷贝到该服务器并解压;
   3). 进入OSSEC目录并运行install.sh开始安装(如果想让ossec支持mysql,则在安装前先需入src目录下执行make setdb命令,如果想让ossec支持更多代理,在src目录下执行make setmaxagents命令,ossec目前最大只支持2048个客户端,并且大多数系统对最大文件数有限制,我们可以通过ulimit -n 2048来增加系统支持的最大文件数(或者sysctl -w kern.maxfiles=2048;
  4). 在提示输入安装类型时,输入server;
  5). 在提示输入安装路径时,输入/opt/ossec;
   6). 在提示是否希望接收E-MAIL通告时, 接受默认值, 并在接下来的提示中依次输入用来接收OSSEC 通告的E-MAIL地址, 邮件服务器的名字或IP地址,我这里是选择localhost作为mta,然后通过设置/etc/alias别名列表来将邮件转发到我指定的邮箱;
  7). 其它提示接受默认值;
  3. 安装代理:
  1). 将OSSEC源代码包拷贝到某台欲在其上安装OSSEC代理的linux服务器上并解压;
  2). 进入OSSEC目录并运行install.sh开始安装;
  3). 在提示输入安装类型时,输入agent;
  4). 在提示输入安装路径时,输入/opt/ossec;
  5). 在提示输入服务器IP地址时输入我们的OSSEC服务器的IP地
  址;
  6). 其它提示接受默认值;
  在欲在其上安装OSSEC代理的所有linux服务器执行1) – 6)
  三.配置
  1. 在OSSEC服务器上运行 /opt/ossec/bin/manage-agents;
  2. 在某个OSSEC代理上运行 /opt/ossec/bin/manage-agents;
  3. 在OSSEC服务器的主菜单下输入A/a 增加一个代理, 为该代理输入一个容易区别的名字(比如其hostname), 并输入其IP 地址;
  4. 在主菜单下输入E/e 为该代理生成密钥;
  5. 在该OSSEC代理的主菜单下输入I/i 准备导入OSSEC服务器生成的密钥;
  6. 将OSSEC服务器生成的密钥复制到OSSEC代理;
  7. 按Q/q键退出OSSEC服务器和代理, 并重新启动OSSEC服务器和代理(分别在OSSEC服务器和代理所在的服务器上执行/etc/init.d/ossec restart)
  在欲在其上配置OSSEC代理的所有linux服务器执行2) – 7)
  OSSEC安装
   8. ossec安装完后,默认会在$directory生成如下几个目录:active-response,bin,etc,logs,queue, rules,stats,tmp,var,主要配置文件为/$directory/etc/ossec.conf,$directory为你ossec安 装目录,每个选项的详细说明请见:http://www.ossec.net/en/manual.html #installorder。规则文件目录为 /$directory/rules

分享到:
评论

相关推荐

    ossec-hids-2.8.2.zip

    **ossec-hids-2.8.2.zip** 是一个包含OSSEC主机入侵检测系统(Host-based Intrusion Detection System)的版本2.8.2的压缩包。OSSEC是一款开源的、多平台的HIDS,它能提供实时的系统监控、警报以及日志分析功能,...

    风行:入侵检测系统ossec整合

    OSSEC是一个开源的、基于主机的入侵检测系统(Host-based Intrusion Detection System, HIDS),它于2003年左右创立。该系统的主要功能包括日志分析、文件完整性检查、策略监控、rootkit检测以及实时报警和动态响应...

    入侵检测系统

    在提供的压缩包文件"ossec-hids-2.7-beta1"中,我们主要关注的是基于主机的入侵检测系统,即OSSEC。 OSSEC是一款开源的、跨平台的HIDS,它提供日志分析、文件完整性检查、实时报警以及反rootkit功能。该系统能够...

    ossec_wui web管理

    ossec(Open Source Security Information Management)是一个开源的、实时的入侵检测系统,它能帮助系统管理员监控和分析系统日志,提供安全警报以及进行系统完整性检查。 **ossec入侵检测系统** ossec是一个多...

    Syngress.OSSEC.Host.Based.Intrusion.Detection.Guide.Feb

    ### OSSEC:基于主机的入侵检测系统指南 #### 一、引言 《OSSEC Host-Based Intrusion Detection Guide》是一本详细介绍如何利用OSSEC这一开源工具进行基于主机的入侵检测的专业指南。本书由Andrew Hay、Daniel Cid...

    cnhids:cnhids是基于OSSEC的cardano节点的主机入侵检测系统

    cnhids cnhids是基于用于cardano节点的主机入侵检测系统: cnHids的目的是通过提供给Prometheus和Grafana来制作简单的SIEM,提供一种监视和分析OSSEC数据的简便方法。 一些常见用例已作为面板添加到了仪表板中(预计...

    ossec-hids-1.6

    OSSEC (Open Source Security Information Management System - 开源安全信息管理系统) 是一款强大的主机入侵检测系统(HIDS),它能够监控和保护操作系统免受恶意活动的影响。版本1.6是该软件的一个早期版本,尽管...

    ossec-hids-3.6.0 源码

    总之,OSSEC-HIDS-3.6.0源码提供了强大的主机入侵检测能力,通过自编译,用户可以根据自己的系统环境定制安全解决方案,确保服务器的安全性。在部署和使用过程中,理解源码结构、熟悉配置文件以及持续监控和优化,都...

    ossec-hids-3.3.0-pcre2.tar.gz

    "ossec-hids" 指的是 OSSEC(Open Source Security Information and Event Management)主机入侵检测系统,这是一个开源项目,用于监控系统日志、检测异常行为和潜在的攻击。"3.3.0" 是该软件的版本号,表明这是 ...

    ossec-hids:OSSEC是基于开源主机的入侵检测系统,它执行日志分析,文件完整性检查,策略监视,rootkit检测,实时警报和主动响应

    它在一个简单,功能强大且开源的解决方案中将HIDS(基于主机的入侵检测),日志监视和SIM / SIEM的所有方面结合在一起。 访问我们的网站以获取最新信息。 最新发行 ossec网站上提供了当前的稳定版本。 可以从...

    OSSEC Guide.pdf

    OSSEC是一款功能强大的开源主机入侵检测系统(Host-based Intrusion Detection System, HIDS),由Daniel Cid创建,旨在为各种操作系统提供全面的安全监控与保护。该系统能够支持包括Windows、Unix以及BSD在内的多种...

    Linux环境下安装OSSEC

    在Linux环境中,OSSEC是一个开源的入侵检测系统(IDS),它提供实时的文件完整性监控、系统活动审计、网络取证分析以及rootkit检测等功能。本文将详细介绍如何在Linux上安装和配置OSSEC,以便提高系统的安全性和监控...

    ossec2.8.1

    OSSEC是一款开源的基于主机的入侵检测系统,可以简称为HIDS。它具备日志分析,文件完整性检查,策略监控,rootkit检测,实时报警以及联动响应等功能。它支持多种操作系统:Linux、Windows、MacOS、Solaris、HP-UX、...

    ossec-agent自动安装脚本-linux系统_ossec-agent.zip

    ossec-agent自动安装脚本-linux系统_ossec-agent

    Ossec IDS with Elasticsearch安装部署手册

    OSSEC是一款开源的入侵检测系统,支持Windows、Linux、OpenBSD/FreeBSD以及Mac OS等多种操作系统平台。它具备以下四大核心功能: 1. **文件目录检测**:监视系统关键文件和目录,一旦发现未授权的改变即可发出警报。...

    ansible-role-ossec-agent:安装和配置ossec-agent的角色

    "ansible-role-ossec-agent" 是一个基于Ansible自动化运维工具的角色,专门用于部署和配置OSSEC主机入侵检测系统(HIDS)的代理。标题表明这个角色可以帮助系统管理员快速、一致地在多台服务器上安装并设置OSSEC ...

    基于ossec logstash es大数据安全关联分析

    OSSEC(Open Source Security Event Correlation)是一款开源的主机入侵检测系统(HIDS),它能够监控和分析来自不同系统的日志和事件数据,从而检测出潜在的安全威胁。OSSEC支持多种平台,包括Windows、Linux、Unix...

    ossec HIDS

    OSSEC是一款开源的多平台的入侵检测系统,可以运行于Windows, Linux, OpenBSD/FreeBSD, 以及 MacOS等操作系统中。包括了日志分析,全面检测,root-kit检测。作为一款HIDS,OSSEC应该被安装在一台实施监控的系统中。...

    Linux+Windows入侵检测报告.rar

    它分为网络入侵检测系统(NIDS)和主机入侵检测系统(HIDS),分别监视网络流量和主机行为。 2. **Linux入侵检测**:在Linux环境中,入侵检测可能涉及审计日志分析、文件完整性检查、网络流量监控等。例如,利用`...

Global site tag (gtag.js) - Google Analytics