【APT】Ubuntu环境下安装OSSEC
本文欢迎转载,转载请注明出处:http://www.cnblogs.com/windcarp
一、服务器端安装
1. 下载ossec
2. 解压缩tar -zxsf
3. 运行sudo sh install.sh
4. 提示判断有没有c编译器,可终端里输入gcc查看
5. 没有的话:sudo apt-get install build-essential
6. 继续安装,位置,我选了默认:/var/ossec
7. 建立快捷方式:ln -s /var/ossec /home/mean stmp填127.0.0.1, 邮箱:root@localhost
8. 启动服务:/var/ossec/bin/ossec-control start 关闭:/var/ossec/bin/ossec-control stop
9. 要修改配置:sudo chmod 777 /var/ossec/etc/ossec.conf cat /var/ossec/etc/ossec.conf 查看内容,修改内容: vi /var/ossec/etc/ossec.conf如果习惯用可视化编辑器可以用gedit
二、客户端安装
1.将OSSEC源代码包拷贝到linux服务器上并解压;
2.进入OSSEC目录并运行install.sh开始安装;
3.在提示输入安装类型时,输入agent;
4.在提示输入安装路径时,输入/opt/ossec;
5.在提示输入服务器IP地址时输入我们的OSSEC服务器的IP地址;
6.其它提示接受默认值,在欲在其上安装OSSEC代理的所有linux服务器执行1) – 6)
三、配置
1.在OSSEC服务器上运行 /opt/ossec/bin/manage-agents;
2.在某个OSSEC代理上运行 /opt/ossec/bin/manage-agents;
3.在OSSEC服务器的主菜单下输入A/a 增加一个代理, 为该代理输入一个容易区别的名字(比如其hostname), 并输入其IP 地址;
4.在主菜单下输入E/e 为该代理生成密钥;
5.在该OSSEC代理的主菜单下输入I/i 准备导入OSSEC服务器生成的密钥;
6.将OSSEC服务器生成的密钥复制到OSSEC代理;
7. 按Q/q键退出OSSEC服务器和代理, 并重新启动OSSEC服务器和代理(分别在OSSEC服务器和代理所在的服务器上执行/etc/init.d/ossec restart)
在欲在其上配置OSSEC代理的所有linux服务器执行2-7 OSSEC安装
8. ossec安装完后,默认会在$directory生成如下几个目录:active-response,bin,etc,logs,queue, rules,stats,tmp,var,主要配置文件为/$directory/etc/ossec.conf,$directory为ossec安装目录,每个选项的详细说明请见:http://www.ossec.net/en/manual.html#installorder。规则文件目录为 /$directory/rules
四、遇到的问题
Question 1:如何配置ossec在主动响应中不阻止特定ip
A:将特定ip列表加入etc/ossec.conf中的<white-list>ips</white-list> 如我们不想让192.168.10.0/24网段的所有主机触发ossec主动响应的命令,编辑/var/ossec/etc/ossec.conf,按如下方式填写即可
<global>
<white-list>127.0.0.1</white-list>
<white-list>192.168.10.0/24</white-list>
</global>
Question 2:如何使ossec支持mysql
A:要使用ossec支持mysql,首先编译时我们需进入src目录下执行:make setdb命令,然后cd ..返回上一级目录,再执行package/install.sh按上面所列方法安装
Question 3:我smtp server设置正确,但为何我收不到ossec主机所发的邮件,在邮件日志中老显示连接超时。
A: ossec原则上不要求在本地架设mta服务器,但我们知道,为了防止垃圾,基本上所有邮件服务器都关闭了open relay,然我们的ossec并没有为smtp认证提供username与password设置选项,这就使我们在选择其它smtp 服务器时无法指定用户名与密码,因此我的做法是设置ossec发信给root@localhost,然后在本地邮件服务器别名列表中,将所有转发给 root的信件再转发给我所希望的email地址。
Question 4:如何设置ossec同时去监检多个日志文件
A:有时,我们同时有多个日志文件希望被监测,但又不想一个个输入ossec.conf配置文中。其实我可以利用ossec的posix规则表达示来达到你的目的。如假如你有如下几个日志文件:
/var/log/host1/xx.log,yy.log,zz.log
/var/log/host2/xx.log,aa.log
/var/log/host3/zz.log,abc.log
/var/log/hostn/bb.log,xyz.log
我们可以这样设置
<localfile>
<log_format>syslog</log_format>
<localtion>/var/log/host*/*.log</location>
</localfile>
Question 5:我采用的是S/C安装方式,并且巳按正确方法在服务器上注册的客户机,但ossec服务器与客户无法还是无法通信
A:针对这个问题,a.首先我们要确定安装顺序是否正确,一般我们是先安装server,然后是agent,并且在服务器给agent生成密匙,再在agent上导入密匙,注意在server上生成密匙时agent的ip地址千万不能写错,否则无法通信。b.使用netstat -ntlup查看本机是否开启了514,1514端口接受agent连接,如果端口还没有打开,先/etc/init.d/syslog restart再查看。请随时查阅/var/ossec/logs/ossec.conf日志文件中的日志。c.如果你启了防火墙,请一定要将514,1514的数据放行,否则agent无法与server正常通信。
Question 6:如何检测apache日志
我们可以这样设置
<localfile>
<log_format>apache</log_format>
<localtion>你的apache日志目录</location>
</localfile>