OSSEC中文使用手册
请到如下位置下载全文
http://down.51cto.com/data/253143
注:该手册是本人为了阅读方便而翻译的,其中可能有不少错误。有任何疑问可以参考原文。
http://www.ossec.net/doc/
· Manual
o Installation
o Syscheck
o Rootcheck
o Agents
o Log monitoring/analysis
o Rules and Decoders
o Output and Alert options
o Active Response
OSSEC是一个开源的入侵检测系统,它可以执行LOG分析,完整性检查,windows注册表监控,rootkit检测,实时报警及动态响影。它可以运行在大多数的操作系统上,包括Linux,OpenBSD,FreeBSD,Mac,Solaris and Windows.等。
OSSEC安装
OSSEC HIDS 主程序和代理安装
安装OSSEC HIDS 很简单,只需要很少的几步就可完成整个安装。首先你要明白你要选择的安装类型(主程序、代理,本地主机)你还要知道安装顺序(总是会先安装主程序)。
如果你熟悉LINUX,你只需要下载OSSEC HIDS的最新板本,解压后运行 “./install.sh” 脚本。
1. 下载最新板本并验证它的校验和。
# wget http://www.ossec.net/files/ossec-hids-latest.tar.gz
# wget http://www.ossec.net/files/ossec-hids-latest_sum.txt
# cat ossec-hids-latest_sum.txt
MD5 (ossec-hids-latest.tar.gz) = XXXXXXX
SHA1 (ossec-hids-latest.tar.gz) = YYYYYYYY
# md5 ossec-hids-latest.tar.gz
MD5 (ossec-hids-latest.tar.gz) = XXXXXXX
# sha1 ossec-hids-latest.tar.gz
SHA1 (ossec-hids-latest.tar.gz) = YYYYYYYY
注意:在部分系统MD5,shal,wget 命令或许不可用,你可以用md5sum,shalsum,lynx 分别替换它们。
2. 解压ossec-hids-*.tar.gz, 并进入解压后的目录,运行”./install.sh”脚本,安装向导会带领你完成这个安装。
# tar -zxvf ossec-hids-*.tar.gz (or gunzip -d; tar -xvf)
# cd ossec-hids-*
# ./install.sh
3. 如果在服务器和代理之间有防火墙,要打开UDP端口1514(本地安装不需要这么做)
4. 启动OSSEC HIDS
# /var/ossec/bin/ossec-control start
无代理监控
无代理监控允许运行完整性检查(未来可以监控日志)它不需要在被监控系统上安装代理,(包括routers,firewalls,switches,and even Linux/BSD systems)就可以执行完整性检查(校验和改变报警)还可以进行文件比较并显示改变了什么。
无代理配置选项
Agentless
Frequency
Host
State
Arguments
在服务器端启用无代理监控
# /var/ossec/bin/ossec-control enable agentless
为你想要访问的主机提供SSH认证。例如Cisco 设备(PIX routers,etc), 您需要提供一个额外的参数启用密码。在这个例子中,我添加了一个linux主机(example.net)和一个IPX防火墙(pix.fw.local)。
# /var/ossec/agentless/register_host.sh add [email protected] mypass1
*Host [email protected] added.
# /var/ossec/agentless/register_host.sh add [email protected] pixpass enablepass
*Host [email protected] added.
# /var/ossec/agentless/register_host.sh list
*Available hosts:
[email protected]
[email protected]
如果你要使用公钥认证而不是密码,你需要提供密码NOPASS并创建公钥。
# sudo -u ossec ssh-keygen
在/var/ossec/.ssh下公钥会被创建。而后将公钥用SCP考贝到远端主机。这是你不需要密码连接就可以工作。
配置说明
首先你要添加你要监控的系统,并配置OSSEC监控它们。默认情况下我们有四个无代理类型(很快我们计划增加更多的类型)。
· ssh_integrity_check_bsd
· ssh_integrity_check_linux
· ssh_generic_diff
· ssh_pixconfig_diff
对于前两项,在配置文件中给出一个目录列表,OSSEC会对远程主机的指定目录做完整性检查。 ssh_generic_diff,比较远程主机运行的一组命令,当输出改变时报警。 ssh_pixconfig_diff当一台Cisco PIX /路由器的配置变化时会报警.
下面的这个例子,我将每10小时监控([email protected])的/bin,/etc,/sbin目录。(如果使用 ssh__integrity_check_bsd类型,参数也应该是目录。
<agentless>
<type>ssh_integrity_check_linux</type>
<frequency>36000</frequency>
<host>[email protected]</host>
<state>periodic</state>
<arguments>/bin /etc/ /sbin</arguments>
</agentless>
PIX的例子,配置看起来像这样。
<agentless>
<type>ssh_pixconfig_diff</type>
<frequency>36000</frequency>
<host>[email protected]</host>
<state>periodic_diff</state>
</agentless>
如果还要监控一些命令,如 ls –la /etc: cat /etc/passwd 只需要增加下面的参数就可以。注意如果你想监控任何网络防火墙或交换机,您可以使用ssh_generic_diff,只是要在参数选项指定命令。要使用“su”,你需要设置值“use_su”在主机名的前面(例如: <host> use_su [email protected] </host> )。
<agentless>
<type>ssh_generic_diff</type>
<frequency>36000</frequency>
<host>[email protected]</host>
<state>periodic_diff</state>
<arguments>ls -la /etc; cat /etc/passwd</arguments>
</agentless>
完成配置后你需要重启OSSEC, OSSEC会对配置文件进行检查,如果有问题会有LOG日志生成,你可以查看/var/ossec/logs/ossec.log这个文件。假如你看到有错误信息,它的意思是你的server系统没有安装可以执行的expect库。(在被监控的系统上不需要安装任何东西)在Ubuntu你可以用下列方法安装:
# apt-get install expect
重启OSSEC,你应该能看到它现在可以连接到被监控的系统。
在log中你应该可以看到一些报警消息
For the ssh_generic_diff:
OSSEC HIDS Notification.
2008 Dec 12 01:58:30
Received From: (ssh_generic_diff) [email protected]>agentless
Rule: 555 fired (level 7) -> "Integrity checksum for agentless device changed."
Portion of the log(s):
ossec: agentless: Change detected:
35c35
< -rw-r-r- 1 root wheel 34 Dec 10 03:55 hosts.deny
--
> -rw-r-r- 1 root wheel 34 Dec 11 18:23 hosts.deny
-END OF NOTIFICATION
For the PIX:
OSSEC HIDS Notification.
2008 Dec 01 15:48:03
Received From: (ssh_pixconfig_diff) [email protected]>agentless
Rule: 555 fired (level 7) -> "Integrity checksum for agentless device changed."
Portion of the log(s):
ossec: agentless: Change detected:
48c48
< fixup protocol ftp 21
--
> no fixup protocol ftp 21
100c100
< ssh timeout 30
--
> ssh timeout 50
More changes..
-END OF NOTIFICATION
完整性检测
Syscheck是OSSEC内部完整性检测进程的名称。它周期性检查是否有任何配置文件(或者windows注册表)发生改变。
在网络中有许多类型的攻击和攻击载体,说起这些攻击,有一种攻击是很特别的,他们留下一个跟踪程序,并总是想尽方法改变这个系统。它们用病毒修改一些文件,并破坏系统的完整性。
完整性检查是入侵检测系统的一个重要组成部分。当系统的完整性被改变时它能够通过比较文件的MD5校验各发现。
它的工作方法是:“代理每几个小时扫描一次系统,并发送所有的校验和到server端。Server端存储这些校验和文件并查找他们的不同。如果发现任何改变将会发送报警。
基本概况
l 多长时间运行一次
n 默认每6小时运行一次,但是这个频率可以自己设定
l 数据存放位置
n 在server端的/var/ossec/queue/syscheck
l CPU使用情况
慢慢地进行扫描,以避免使用过多的CPU /内存。
l 如何处理误报
n 文件能够通过手工指定配置文件或使用规则到忽略不记,默认一个文件修改超过3次会自动忽略。
配置选项
下面的配置选项可以指定在每一个代理的ossec.conf文件,除了应用到manager和本地安装类型的auto_ignore 和 alert_new_file. 如果ignore选项指定在manage,所有代理都会使用相同的设置。
目录
使用这个选项增加或者移除被监控的目录(目录这间用逗号分开)所有的文件和子目录也会被监控。没有目录的驱动器字母是无效的。至少“。”应包括(D:\.)。
默认:/etc,/sur/bin,/usr/sbin,/bin,/sbin
Attributes: 属性
· realtime: Value=yes
o This will enable realtime/continuous monitoring on Linux (using the inotify system calls) and Windows systems. (启用实时、连续的监控)
· report_changes: Value=yes
o Report diffs of file changes. This is limited to text files at this time. (文件改变比较报告,只能用文本文件)
· check_all: Value=yes
o All the following check_* options are used together. (所有下面的check_*选项共同起作用)
· check_sum: Value=yes
o Check the md5 and sha1 hashes of the of the files will be checked.
This is the same as using both check_sha1sum=”yes” and check_md5sum=”yes”
· check_sha1sum: Value=yes
o When used only the sha1 hash of the files will be checked.
· check_md5sum: Value=yes
o The md5 hash of the files will be checked.
· check_size: Value=yes
o The size of the files will be checked. (检查文件大小)
· check_owner: Value=yes
o Check the owner of the files selected. (文件所有者检查)
· check_group: Value=yes
o Check the group owner of the files/directories selected. (文件和目录所属的用户组检查)
· check_perm: Value=yes
o Check the UNIX permission of the files/directories selected. On windows this will only check the POSIX permissions. 文件和目录权限检查
· restrict: Value=string
o A string that will limit checks to files containing that string in the file name. (文件内容中包含文件名的字符串将限制检查。
Allowed: Any directory or file name
ignore
List of files or directories to be ignored (one entry per element).列出的文件和目录将不被检查Default: /etc/mtab
Attributes:
· type: Value=sregex
o This is a simple regex pattern to filter out files so alerts are not generated. 这个简单的表达式过虑掉输出文件,所以报警不会生成。
Allowed: Any directory or file name
frequency
Frequency that the syscheck is going to be executed (in seconds).(syscheck多长时间执行一次,默认是21600秒,也就是6个小时)
The default is 6 hours or 21600 seconds
Default: 21600
Allowed: Time in seconds
scan_time
Time to run the scans (can be in the formats of 21pm, 8:30, 12am, etc) 扫描系统的时间格式(21pm晚上9点),8:30,(12am上午12点)。
Allowed: Time to run scan
scan_day
Day of the week to run the scans (can be in the format of sunday, saturday, monday, etc)
在每周的那一天执行扫描
Allowed: Day of the week
auto_ignore
Specifies if syscheck will ignore files that change too often (after the third change)指定忽略频繁改变的文件
Default: no
Allowed: yes/no
alert_new_files
Specifies if syscheck should alert on new files created.指定新文件被创建时是否报警
Default: no
Allowed: yes/no
scan_on_start
Specifies if syscheck should do the first scan as soon as it is started.(syscheck启动后是否立即做第一次扫描。
Default: yes
Allowed: yes/no
windows_registry
Use this option to add Windows registry entries to be monitored (Windows-only).增加windows注册表监控
Default: HKEY_LOCAL_MACHINESoftware
Allowed: Any registry entry (one per element)
registry_ignore
List of registry entries to be ignored.(不监控列出的注册表条目)
Default: ..CryptographyRNG
Allowed: Any registry entry (one per element)
配置例子
配置 syscheck,提供一个要被监控的目录和文件列表,check_all 选项会检查文件的md5, sha1,owner,和权限。例如:
<syscheck>
<directories check_all="yes">/etc,/usr/bin,/usr/sbin</directories>
<directories check_all="yes">/root/users.txt,/bsd,/root/db.html</directories>
</syscheck>
如果不想监控某些文件和目录,可以用ignore选项(或者registry_ignore 为windows注册表输入)
<syscheck>
<ignore>/etc/random-seed</ignore>
<ignore>/root/dir</ignore>
<ignore type="sregex">.log$|.tmp</ignore>
</syscheck>
在ignore选项,这个类型属性可以设置sregex指定一个正则表达式语法。
<syscheck>
<ignore type="sregex">^/opt/application/log</ignore>
</syscheck>
一个本地规则可以更严格的修改你想要更改的指定文件和目录。
<rule id="100345" level="12">
<if_matched_group>syscheck</if_matched_group>
<match>/var/www/htdocs</match>
<description>Changes to /var/www/htdocs - Critical file!</description>
</rule>
在上边的例子中,当htdocs directory目录中的文件有改变时将会产生一个高严重级别的报警。
实时监控
在linux 和windows中OSSEC支持实时监控文件完整性检查(linux内核2.6.13以上板本支持)
配置很简单,在directories选项那里你可以指定要监控那些文件和目录,增加realtime=”yes”到启用。
<syscheck>
<directories realtime="yes" check_all="yes">/etc,/usr/bin,/usr/sbin</directories>
<directories check_all="yes">/bin,/sbin</directories>
</syscheck>
在这个例子中,目录/etc, /usr/bin and /usr/sbin会被实时监控,同样的方法也实用与windows.
提示:实时监控并不会立即开始。首先ossec-syscheckd需要扫描文件系统并添加每一个了目录到实时队列。要完成这些工作需要30分钟时间。(等待log文件出现如下信息:“ossec-syscheckd: INFO: Starting real time file monitoring”)
注解:实时监控仅对目录有效,所以你可以监控 /etc 或者c:\program files 目录,但不能是个别的文件,像/etc/file.txt。
比较不同并生成报告
在linux 和unix系统比较所后的改变生成一个文本文件,OSSEC支持发送比较报告,
配置syscheck显示文件比较的不同很简单,添加report_changes=”yse”到directories选项。
<syscheck>
<directories report_changes="yes" check_all="yes">/etc</directories>
<directories check_all="yes">/bin,/sbin</directories>
</syscheck>
Syscheck FQA
怎样使syscheck立即开始扫描系统?
运行代理控制工具使其立即开始完整性扫描(-a 选项使所有代理开始运行,-u选项可以指定某个代理ID.
# /var/ossec/bin/agent_control -r -a
# /var/ossec/bin/agent_control -r -u <agent_id>
代理控制参数选项:
-h 显示帮助消息
-l 列出所有可能的代理
-lc 列出活动的代理
-i <agent_id> 获取代理的相关信息 agent_id
-r 运行代理中的integrity/rootcheck检查,要和-u或-a 一起使用。
-a 对所有代理起做用
-u <agent_id> <agent_id>预先指定代理ID号
例1: 列出所有活动的代理¶
agent_control -lc, 列出已连接的活动代理. agent_control -l 列出所有代理(包括连接的和非连接的)
# /var/ossec/bin/agent_control -lc
OSSEC HIDS agent_control. List of available agents:
ID: 000, Name: enigma.ossec.net (server), IP: 127.0.0.1, Active/Local
ID: 002, Name: winhome, IP: 192.168.2.190, Active
ID: 005, Name: jul, IP: 192.168.2.0/24, Active
ID: 165, Name: esqueleto2, IP: 192.168.2.99, Active
ID: 174, Name: lili3win, IP: 192.168.2.0/24, Active
例 2: 使用代理ID号,获取指定代理的信息。
查询一个指定ID号的代理信息,
# /var/ossec/bin/agent_control -i 002
OSSEC HIDS agent_control. Agent information:
Agent ID: 002
Agent Name: winhome
IP address: 192.168.2.190
Status: Active
Operating system: Microsoft Windows XP Professional (Build 2600)
Client version: OSSEC HIDS v1.5-SNP-080412
Last keep alive: Fri Apr 25 14:33:03 2008
Syscheck last started at: Fri Apr 25 05:07:13 2008
Rootcheck last started at: Fri Apr 25 09:04:12 2008
当启动ossec时,告诉syscheck不要对系统进行扫描
在ossec.conf中指定<scan_on_start> 选项为“no”.
怎么从syscheck中排除一个频繁更改的文件?
在<ignore>选项设定要排除的目录文件,或者创建一个简单的本地规则。
下面的这个例子将从mswin1和ubuntu-dns代理中排除etc/a , /etc/b 和一个目录 /etc/dir。
<rule id="100345" level="0" >
<if_group>syscheck</if_group>
<description>Changes ignored.</description>
<match>/etc/a|/etc/b|/etc/dir</match>
<hostname>mswin1|ubuntu-dns</hostname>
</rule>
在检测到数据据改变后怎么获取详细的报告?
Syscheck_control工具
Syscheck_control提供了一个管理和查看数据库的接口。
Syscheck_control参数选项
-h 显示帮助消息
-l 列出可用的代理
-lc 列出当前活动的代理
-u <agent_id> 更新(清除)指定代理的数据库,
-u all 更新(清除)所有代理的数据库,
-i <agent_id> 列出指定代理的数据库
-r –i 列出windows代理 中注册表改变的数据
-f <file> 用 –i 参数, 列印一个关与修改文件的信息。
-z
-d 用 –f 参数,忽略该文件
-s 输出到CVS
Syscheck_control 使用实例
例 1:获取一个指定代理中已修改过文件的一个列表
关与OSSEC监控的文件和OSSEC部署后修改过的文件,运行syscheck_control –i 可以重新检索信息。
# /var/ossec/bin/syscheck_control -i 002
Integrity changes for agent 'ossec-agent (002) - 192.168.1.86':
Changes for 2009 Dec 21:
2009 Dec 21 13:52:40,0 - /etc/authorization
2009 Dec 21 13:52:42,0 - /etc/cups/printers.conf
2009 Dec 21 13:52:42,0 - /etc/cups/printers.conf.O
2009 Dec 21 13:52:58,0 - /etc/postfix/main.cf.default
Changes for 2010 Jan 04:
2010 Jan 04 10:13:58,0 - /etc/authorization
同样的你会看到这个命令提供了一个关与文件改变的概述。
对于一个被修改的文件来说,如果你需要获取更多的详细信息,你可以使用syscheck_control 查看它。
文件被加入到syscheck数据库时的时间标记。
文件被加入到syscheck数据库时的完整性检查值
OSSEC发现了一个改变时的时间标记
每次OSSEC发现一个改变时的完整性检查值
完整性检查值包括:
文件改变了多少次
文件大小
文件权限
文件的拥有者和所属组
文件的MD5和SHAL哈希值
运行syscheck_control –i 到检索信息。
# /var/ossec/bin/syscheck_control -i 002 -f /etc/authorization
Integrity changes for agent 'ossec-agent (002) - 192.168.1.86':
Detailed information for entries matching: '/etc/authorization'
2009 Dec 21 13:52:40,0 - /etc/authorization
File added to the database.
Integrity checking values:
Size: 27771
Perm: rw-r--r--
Uid: 0
Gid: 0
Md5: dd62912576ae05d611d7469be809cf1d
Sha1: 530df0283df52f0152b9e7ce1a518119b06ceebc
2010 Jan 04 10:13:58,0 - /etc/authorization
File changed. - 1st time modified.
Integrity checking values:
Size: >28050
Perm: rw-r--r--
Uid: 0
Gid: 0
Md5: >50da55def41bcede7d42ac5ee8fe12c9
Sha1: >97f4b2b48a97321a3e245221e0ea4353cf4fa8ef
例3:清除syscheck 数据库
要清除某个代理syscheck数据库,运行以下命令:
# /var/ossec/bin/syscheck_control -u 002
** Integrity check database updated.
运行Shscheck_control –i 220,现在将显示ID号为002的代理在数据库中没有修改过的文件。
# /var/ossec/bin/syscheck_control -i 002
Integrity changes for agent 'ossec-agent (002) - 192.168.1.86':
** No entries found.
Syscheck下一次运行的时候,数据库内容将会再一次添充。