來源自我的部落格
http://www.yingzinanfei.com/2016/09/18/ossecjianalogianzhuangyushiyong/
- ossec是一個開源的多平台的入侵檢測系統,功能包括日志分析、系統完整性檢查、系統資料庫監控、rootkit檢測、實時警報和關聯(active response)功能。
- ossec可隻安裝在一台主機上,實作對本機的監控,方式為local。也可采用client-server的方式實作在client上監控,server上處理分析。C-S模式可以實作多台client同時監控。
以下是對服務端的操作
- 安裝基礎環境
- 啟動apache、mysql和sendmail服務
for i in {httpd,mysqld,sendmail};
do service $i restart;
done
- 資料庫授權
# mysql
mysql> create database ossec;
mysql> grant INSERT,SELECT,UPDATE,CREATE,DELETE,EXECUTE on ossec.* to [email protected];
mysql> flush privileges;
mysql> exit
上述語句的意思是新增一個使用者ossec密碼為空,讓他隻可以在localhost上登入,并可以對資料庫ossec的所有表進行插入、查詢、修改、插入、删除的操作
- 安裝ossec
# tar zxvf ossec-hids-2.8.3.tar.gz
# cd ossec-hids-2.8.3
# cd src/
驗證是否支援mysql
# sudo make setdb
如果出現Mysql support表示支援
# cd ..
# sudo ./install.sh
. 選擇安裝類型:server
. 選擇安裝路徑:/var/ossec
. 是否收到e-mail告警:y
e-mail位址:***@xx.com
smtp位址:..(注意這裡手動輸入,而不要使用軟體自動檢測出的位址)
. 系統完整性檢測子產品:y
. rootkit檢測子產品:y
. 關聯功能:y
. 防火牆關聯功能:y
. 添加更多ip到白名單:n
. 希望接收遠端機器syslog:y(此步為接收用戶端日志的關鍵)
完成安裝
以上配置均可在安裝後從配置檔案中更改,是以可一路回車快速完成安裝
ossec配置檔案位置
/var/ossec/etc/ossec.conf
- 啟用資料庫支援并導入資料
# /var/ossec/bin/ossec-control enable database
下面進入的是安裝包解壓後的目錄,因為src檔案夾中有資料表,需要将其導入到資料庫中,使用了重定向來完成導入
# cd ossec-hids-2.8.1
# mysql -uossec -p ossec < ./src/os_dbd/mysql.schema
- 修改配置檔案權限
表示使目前使用者(u)添加寫入(w)的權限
- 修改配置檔案/var/ossec/etc/ossec.conf
<ossec_config>
<!-- 發郵件部分 -->
<global>
<email_notification>yes></email_notification>
<email_to>***@xx.com</email_to>
<smtp_server>127.0.0.1</smtp_server>
</global>
<!-- 資料庫輸入部分 -->
<database_output>
<hostname>127.0.0.1</hostname>
<username>ossec</username>
<password>ossec</password>
<database>ossec</database>
<type>mysql</type>
</database_output>
<!-- 接收用戶端syslog資訊 -->
<remote>
<connection>syslog</connection>
<allowed-ips>192.168.122.0/24</allowed-ips>
<!-- 這裡的允許ip填一個網段,表示接收這個網段裡的syslog,可以根據用戶端的ip進行調整 -->
</remote>
<!-- 其他暫時保持不變 -->
</ossec_config>
- 配置Agent資訊
# /var/ossec/bin/manage_agents
# A
agent name:ossec-agent
agent ip:(填用戶端ip)
agent id:
confirm adding:y
添加此Agent後可用L顯示
# L
使用E産生key供下文的用戶端使用
# E
id:
退出manage_agents使用Q
# Q
- 啟動服務端的ossec服務
如果一切正常則啟動服務後郵箱應該能收到一封alert level=3的郵件
以下是對用戶端的操作
- 安裝ossec
# tar zxvf ossec-hids-2.8.3.tar.gz
# cd ossec-hids-2.8.3
# sudo ./install.sh
. 選擇安裝方式:agent
. 安裝路徑:/var/ossec
. 伺服器ip:.(這裡根據伺服器ip填相應的)
. 系統完整性檢測:y
. rootkit檢測:y
. 關聯功能:y
- 配置Agent
# /var/ossec/bin/manage_agents
導入key
# I
把上文中服務端産生的key粘貼到這裡
confirm adding:y
# Q
- 啟動用戶端服務
ossec指令記錄
- bin/ossec-control
start 啟動各項服務
stop 停止各項服務
restart 重新開機各項服務
status 檢視各項服務狀态
enable:[database|client-syslog|agentless|debug] 啟動功能支援
disable:[database|client-syslog|agentless|debug] 關閉功能支援
- bin/agent_control (僅服務端有)
-l 列舉所有可用的agents,服務端會有一個local,表示自身也作為一個agent被監控
-lc 僅列舉活躍的agents
-i <id> 顯示對應id的Agent的資訊
-R <id> 重新開機對應id的Agent
-r -a 在所有agents上立即運作完整性和rootkit檢查
-r -u <id> 在指定的agent上立即運作完整性和rootkit檢查
-b <ip> 阻止指定的ip位址
-f <ar> 配合-b使用,指定運作哪個響應
-L 列舉可用的關聯
-s 更改輸出到CSV(用,分隔)
- bin/manage_agents
-V 顯示ossec版本資訊
-l 列舉可用的agents,這裡不會顯示local的資訊
-e <id> 得到某個agent的key(伺服器用)
-r <id> 移除某個agent(伺服器用)
-i <id> 導入key(用戶端用)
-f <file> 從檔案導入keys(伺服器用),檔案格式為IP,NAME
ossec的web界面服務
- analogi是對ossec進行日志web展示的一個網站,使用的是php語言,github上可下載下傳。
- 在服務端安裝analogi
将analogi解壓到apache的http伺服器根目錄下,并改名為ossec
# pwd
/var/www/html
# unzip analogi-master.zip
# mv analogi-master ossec
給apache使用者的apache組添加對整個目錄的所有權
# sudo chown -R apache.apache /var/www/html/ossec
修改ossec目錄下關于資料庫連接配接的設定,使其能通路上文中建立的資料庫
# cd ossec
# cp db_ossec.php.new db_ossec.php
# sudo vim db_ossec.php
define ('DB_USER_O', 'ossec'); 這裡是mysql使用者名
define ('DB_PASSWORD_O', 'ossec'); 這裡是mysql密碼
define ('DB_HOST_O', 'localhost'); 預設的是,如果最後通路時提示無法通路mysql仍需要改成localhost
define ('DB_NAME_O', 'ossec'); 這裡是資料庫的名稱
- 配置apache,使其能夠通路伺服器根目錄下的ossec目錄。如果不配置此處則直接在浏覽器通路localhost/ossec則會出現403錯誤
# cd /etc/httpd.conf.d
# sudo vim ossec.conf
<Directory /var/www/html/ossec>
Order deny,allow
Allow from 192.168.122.0/24 這裡的ip段根據需要更改
</Directory>
- 重新開機apache伺服器
- 通路analogi。服務端在浏覽器輸入localhost/ossec即可通路。用戶端或者其他主機,當ip在設定的ip段内時可通過 服務端ip/ossec 進行通路
![郵箱被盜,受到網絡釣魚攻擊,如何甄别規避?[圖]](data:image/gif;base64,R0lGODlhAQABAIAAAP///wAAACwAAAAAAQABAAACAkQBADs=)