一、服务端安装
1. 上传ossec-hids-2.4.1.tar.gz至/home目录
2. 安装ossec
#tar -zxvf ossec-hids-2.4.1.tar.gz
#cd ossec-hids-2.4.1
#./install.sh
1)选择语言类型:
** Para instalação em português, escolha [br].
** 要使用中文进行安装, 请选择 [cn].
** Fur eine deutsche Installation wohlen Sie [de].
** Για εγκατάσταση στα Ελληνικά, επιλέξτε [el].
** For installation in English, choose [en].
** Para instalar en Español , eliga [es].
** Pour une installation en français, choisissez [fr]
** Per l'installazione in Italiano, scegli [it].
** 日本語でインストールします.選択して下さい.[jp].
** Voor installatie in het Nederlands, kies [nl].
** Aby instalować w języku Polskim, wybierz [pl].
** Для инструкций по установке на русском ,введите [ru].
** Za instalaciju na srpskom, izaberi [sr].
** Türkçe kurulum için seçin [tr].
(en/br/cn/de/el/es/fr/it/jp/nl/pl/ru/sr/tr) [en]:en
2)按回车继续:
OSSEC HIDS v2.4.1 Installation Script - http://www.ossec.net
You are about to start the installation process of the OSSEC HIDS.
You must have a C compiler pre-installed in your system.
If you have any questions or comments, please send an e-mail
to dcid@ossec.net (or daniel.cid@gmail.com).
- System: Linux linux 2.6.5-7.308-smp
- User: root
- Host: linux
-- Press ENTER to continue or Ctrl-C to abort. --
3)选择安装的为服务器端:
1- What kind of installation do you want (server, agent, local or help)? server
- Server installation chosen.
2- Setting up the installation environment.
- Choose where to install the OSSEC HIDS [/var/ossec]: /var/ossec
- Installation will be made at /var/ossec .
4)配置OSSEC的邮件通知、response及remote syslog
3- Configuring the OSSEC HIDS.
3.1- Do you want e-mail notification? (y/n) [y]: y
- What's your e-mail address? root@localhost
- We found your SMTP server as: 127.0.0.1
- Do you want to use it? (y/n) [y]: y
--- Using SMTP server: 127.0.0.1
3.2- Do you want to run the integrity check daemon? (y/n) [y]: y
- Running syscheck (integrity check daemon).
3.3- Do you want to run the rootkit detection engine? (y/n) [y]: y
- Running rootcheck (rootkit detection).
3.4- Active response allows you to execute a specific
command based on the events received. For example,
you can block an IP address or disable access for
a specific user.
More information at:
http://www.ossec.net/en/manual.html#active-response
- Do you want to enable active response? (y/n) [y]: y
- Active response enabled.
- By default, we can enable the host-deny and the
firewall-drop responses. The first one will add
a host to the /etc/hosts.deny and the second one
will block the host on iptables (if linux) or on
ipfilter (if Solaris, FreeBSD or NetBSD).
- They can be used to stop SSHD brute force scans,
portscans and some other forms of attacks. You can
also add them to block on snort events, for example.
- Do you want to enable the firewall-drop response? (y/n) [y]: y
- firewall-drop enabled (local) for levels >= 6
- Default white list for the active response:
- 10.30.18.100
- 10.30.1.10
- Do you want to add more IPs to the white list? (y/n)? [n]: y
- IPs (space separated): 10.16.26.199 10.16.26.66
3.5- Do you want to enable remote syslog (port 514 udp)? (y/n) [y]: y
- Remote syslog enabled.
3.6- Setting the configuration to analyze the following logs:
-- /var/log/messages
-- /var/log/mail.info
- If you want to monitor any other file, just change
the ossec.conf and add a new localfile entry.
Any questions about the configuration can be answered
by visiting us online at http://www.ossec.net .
--- Press ENTER to continue ---
5)按回车开始安装
3. 启动服务器
#/var/ossec/bin/ossec-control start
启动成功之后提示:
Starting OSSEC HIDS v2.4.1 (by Trend Micro Inc.)...
Started ossec-maild...
Started ossec-execd...
Started ossec-analysisd...
Started ossec-logcollector...
Started ossec-remoted...
Started ossec-syscheckd...
Started ossec-monitord...
Completed.
4. 停止服务器
#/var/ossec/bin/ossec-control stop
二、客户端安装
1. 安装ossec,双击ossec-agent-win32-2.4.1.exe进行安装
2. 安装过程中所有选择都采用默认方式进行安装
3. 配置客户端
在ip中输入server的ip地址
Key需要在服务器上生成
4. 在服务器端添加agent
1) 进入OSSEC的安装目录并添加agent
#cd /var/ossec/bin
#./manage_agents
2) 选择添加一个Agent
****************************************
* OSSEC HIDS v2.4.1 Agent manager. *
* The following options are available: *
****************************************
(A)dd an agent (A).
(E)xtract key for an agent (E).
(L)ist already added agents (L).
(R)emove an agent (R).
(Q)uit.
Choose your action: A,E,L,R or Q: A
3) 填写Agent的名称、ip地址及序号
- Adding a new agent (use '\q' to return to the main menu).
Please provide the following:
* A name for the new agent: zzt
* The IP Address of the new agent: 10.16.26.199
* An ID for the new agent[001]: 001
Agent information:
ID:001
Name:zzt
IP Address:10.16.26.199
Confirm adding it?(y/n): y
Agent added.
5 生成key在服务器端生成key
****************************************
* OSSEC HIDS v2.4.1 Agent manager. *
* The following options are available: *
****************************************
(A)dd an agent (A).
(E)xtract key for an agent (E).
(L)ist already added agents (L).
(R)emove an agent (R).
(Q)uit.
Choose your action: A,E,L,R or Q: E
Available agents:
ID: 001, Name: zzt, IP: 10.16.26.199
Provide the ID of the agent to extract the key (or '\q' to quit): 001
Agent key information for '001' is:
MDAxIHp6dCAxMC4xNi4yNi4xOTkgOWI4YTY1NWI3ZjhkY2Y5MDJmZmI2ZGQxZmY4YzgyOGY4YzA5ZmQ3ZTBmMDY4NTVlNDI4Y2VkZDI4OTUzOTBhMQ==
** Press ENTER to return to the main menu.
6. 拷贝key文件到客户端并点击保存并确定
7. 运行客户端
点击Manage - Start OSSEC
三、配置服务器端的远程日志
1. 配置remote syslog 服务器
1)停止ossec服务器
#/var/ossec/bin/ossec-control stop
2)修改/var/ossec/etc/ossec.conf
在/var/ossec/etc/ossec.conf文件中添加
<global>
……
</global>
<syslog_output>
<server>10.16.13.213</server>
</syslog_output>
如果需要将不同级别的警告信息添加到不同的服务器上,可以做如下配置
<global>
……
</global>
<syslog_output>
<server>10.16.13.213</server>
</syslog_output>
<syslog_output>
<level>10</level>
<server>10.16.13.213</server>
</syslog_output>
3)配置syslog并启动ossec
# /var/ossec/bin/ossec-control enable client-syslog
# /var/ossec/bin/ossec-control start
启动后会看到在配置的远程syslog日志文件中看到如下信息:
Jul 1 07:54:35 10.16.26.66 ossec: Alert Level: 3; Rule: 501 - New ossec agent connected.; Location: (zzt) 10.16.26.199->ossec; ossec: Agent started: 'zzt->10.16.26.199'.
说明:在安装OSSEC之前请确定已经安装了GCC。
附件给出了与安装相关文件,包括GCC的安装包(按以下顺序进行安装):
glibc-2.3.3-98.94.i586.rpm
glibc-devel-2.3.3-98.94.i586.rpm
gcc-3.3.3-43.54.i586.rpm
gcc-info-3.3.3-43.54.i586.rpm
libstdc++-3.3.3-43.54.i586.rpm
libstdc++-devel-3.3.3-43.54.i586.rpm
gcc-c++-3.3.3-43.54.i586.rpm
- 大小: 21.2 KB
- 大小: 21.6 KB
- 大小: 9 KB
- 大小: 19.3 KB
- 大小: 4.7 KB
分享到:
相关推荐
OSSEC是一款开源的入侵检测系统,支持Windows、Linux、OpenBSD/FreeBSD以及Mac OS等多种操作系统平台。它具备以下四大核心功能: 1. **文件目录检测**:监视系统关键文件和目录,一旦发现未授权的改变即可发出警报。...
- **环境准备**:首先需要准备好操作系统环境,通常OSSEC支持各种Linux发行版及类Unix系统。 - **安装过程**:通过下载官方提供的安装包或使用包管理器进行安装。 - **配置文件**:主要配置文件为`ossec.conf`,其中...
OSSEC是开源的入侵检测系统(HIDS,Host-based Intrusion Detection System),它监控系统活动并提供实时告警,帮助用户保护其Linux和Windows服务器免受恶意攻击。3.6.0是该软件的最新版本,包含了最新的安全更新和...
安装完成后,需要根据您的环境配置OSSEC的规则和警报设置,以确保它能有效地保护您的系统。 为了确保最佳的保护效果,使用OSSEC时,应定期更新其规则库,以应对新的威胁和漏洞。此外,理解和解读OSSEC产生的警报至...
包括需要考虑在Linux环境下agent的文件备份和变更内容的长度限制,以及如何应对可能存在的绕过检测的风险和漏报情况。在此基础上,他建议采取多样化的检测方法和透明化的检测规则,以及将安全控制颗粒化,以更好地...
2. **Linux入侵检测**:在Linux环境中,入侵检测可能涉及审计日志分析、文件完整性检查、网络流量监控等。例如,利用`auditd`服务进行系统调用跟踪,使用`tripwire`检查文件系统完整性,通过`Snort`等工具监测网络...
对于Linux环境,我们将重点讨论HIDS,因为它直接监控系统活动,提供更细致的本地安全视图。 **基于主机的入侵检测系统(HIDS)** HIDS通过监视系统日志、文件系统更改以及进程行为来识别潜在的攻击。当检测到异常...
【网络安全实验 - 入侵检测】本次实验重点在于学习和应用 OSSEC 代理在不同操作系统环境下的安装与配置,以及熟练使用 PuTTY 进行远程机器连接。OSSEC 是一个开源的主机入侵检测系统(HIDS),它能够监控系统日志、...
总结来说,系统日志批量收集分析涉及到Linux环境下日志的集中管理、过滤、分析和安全监控。通过合理利用各种工具和脚本,IT专业人员可以有效地监控系统健康状况,及时发现并解决问题,从而提升系统的稳定性和安全性...
这份Linux应急响应手册v1.0发行版不仅提供技术指导,还可能包含最佳实践、案例研究和推荐资源,帮助读者更好地理解和应对Linux环境中的安全挑战。对于任何Linux系统管理员或安全专业人员来说,都是一份不可或缺的...
此外,还有一些第三方工具,如Tripwire和OSSEC,提供更全面的文件完整性检查和入侵检测功能。 综上所述,"进程服务端口文件监控"是一个综合性的系统管理实践,它涵盖了对操作系统内部运作的全面洞察,以确保系统的...
云服务器数据安全保护软件项目询价文件 一、项目编号:计算机学院2017【009】号 二、项目名称:云服务器数据安全保护软件 三、采购预算:12.1万元 四、采购设备清单与技术参数 " 指标项 "需求说明 " "系统环境 " ...
在Linux平台下部署JDK通常涉及到下载安装包、配置环境变量、运行测试程序等步骤。正确部署JDK是运行Java程序的先决条件。 十、负载均衡器小结 负载均衡器是提高网络性能和服务可用性的关键设备,它可以将传入的网络...
- **图形界面应用**: 在Unix环境下安装和使用图形界面软件的方法。 #### 三、文件和目录操作 (Part III: Working with Files and Directories) **3.1 目录组织 (Chapter 7: Directory Organization)** - **文件...
Wazuh最初基于OSSEC(Open Source Security Information and Event Management),随着时间的推移,它已经发展成为一个全面的安全平台,尤其适合那些需要遵循PCI-DSS(Payment Card Industry Data Security Standard...
安全洋葱(Security Onion)是由Doug Burks维护的集成安全工具的Linux发行版,包含了全面的数据包捕获工具、NIDS、HIDS以及一系列分析工具,如netsniff-ng、Snort、Suricata、Bro、OSSEC、Sguil、Squert、Snorby和ELSA...