OSSEC 是一个基于主机的入侵检测系统(Host_Based Intrusion Detection)。 它集HIDS丶日志监控丶安全事件管理与一体 OSSEC 支持 Linux丶Solaris丶Windows 和Mac OS X 操作系统 OSSEC 提供如下功能: 文件完整性检查:列如,通过监控/etc/passwd 和/etc/shadow 文件,可以知道是否有新增系统用户或者用户账号改变的情况 日志监控:列如,通过监控/var/log/secure 日志,可以分析出是否有密码被尝试暴力破解 RootKit 检查:通过的 /sbin丶 /bin 等系统核心命令执行程序的规则检查,可以知道是否被替换成了恶意程序,发现异常时可以报警处理
本列中设置了两台 Linux 虚拟机,Centos6 作为 OSSEC Server,IP 为 192.168.142.128,Ccentos7 作为 agent,IP 为 192.168.142.129
在Server 和Agent 都需要先对 IDS 进行安装
yum install -y gcc inotify-tools bind-utils
wget -O ossec.2.9.3.tar.gz https://github.com/ossec/ossec-hids/archive/2.9.3.tar.gz
下载完成后解压安装归档文件,本列中下载到/usr/src 中。Agent 和 Server 下载解压完成后进入 ossec-hids-2.9.3,并运行 ./install.sh 按照第一步进入语言选择,可选中文 继续执行配置安装(注:如果是单机安装可选 local)
按 Enter 键开始安装 接下来在客服端上完成同样操作 选择 agent 类型安装
安装完成后,先进入 server 中进行配置,设置 Agent 的 IP。通过/var/ossec/bin/manage_agents 命令进入配置选项,A 表示添加agent Agent 的添加完成后不要退出。执行E 命令,生成密钥 密钥需要记住,它会设置在 Agent 中。通过 Q 退出 Server 配置,接下来进入 Agent 端进行配置 Agent 的配置只需要将 Server 生成的密钥放入就行了,设置为完成后通过Q 键退出 配置完成后在 Server 和 Agent 端启动 OSSEC
var/ossec/bin/ossec-control start
Agent 启动之前需要在/var/ossec/etc/shard 中创建 agent.conf 文件,在文件中可以简单的进行配置 配置完成启动即可
Server: /安装目录/etc/ossec.conf
最后通过/var/ossec/bin/ossec-control start 启动服务器和客服端的服务,注意服务器的开启是否正常
当 Agent 发生异常报警时,则会通知到服务器,所以警告会存放于服务器/var/ossec/log/alerts 目录下
