1.HIDS OSSEC OSSEC是一个基于主机的入侵检测系统。它集HIDS、日志监控、安全事件管理于一体 OSSEC支持Linux、Windows和Mac OS X 操作系统 OSSEC提供如下功能: 文件完整性检查:可以知道是否有新增系统用户或者用户账号改变情况 日志监控:可以分析出是否有密码被尝试暴力破解 RootKit检查:通过、sbin、/bin等系统核心命令执行程序的规则检查,可以知道是否被替换成了恶意程序,被发现异常时可以报警处理。 2. OSSEC 典型部署 先设置两台Linux 虚拟机,CentOS6作为OSSEC Server,IP 192.168.155.134 CentOS7作为agent IP 192. 168.155.133 在Server和Agent 都需要先对IDS进行安装 | yum install -y gcc inotify-tools bind utils| |–| |wget -O ossec.2.9.3.tar.gz https://github.com/ossec/ossec-hids/archive/2.9.3.tar.gz| | 下载完成后解压安装归档文件,本例中下载到、usr/src中。Agent和Server下载解压完成后进入ossec-hids-2.9.3,并运行./inatall.sh 安装第一步进入语言选择,选择中文如图:
如果之前是用的local,这里把他改成server 继续执行配置安装【注:单机选择local】 安装结束
按下Enter键开始安装在客户端上执行同样的操作 完成安装后,先进入server中进行配置,设置Agent的IP. 通过/var/ossec/bin/manage_agents命令进去配置选项,A表示添加agent
Agent 添加完成后 执行E命令,生成密钥对 Agent的配置只需要将 Server生成的密钥放入就行了,设置完成后通过Q键退出配置完成后在 Server和 Agent端启动 OSSEC(在客户端和服务器开启服务) /var/ossec/bin/ossec-control start 修改OSSEC配置文件 Server:/安装目录/etc/ossec.conf(安装是之前默认的/var/ossec),把时间改成600
最后通过/var/ossec/bin/ossec-control start 启动服务器和客户端的服务,注意开启是否正常 当Agent 反应异常报警时,则会通知到服务器,所有警告会存放于服务器/var/ossec/logs/alerts
