手动安装Ossim
很多关注《UNIX/Linux网络日志分析与流量监控》一书的朋友都被里面丰富的日志分析案例所吸引,尤其是最后精彩的OSSIM应用案例分析更加引人入胜,很多朋友都在自己的企业网中部署了OSSIM,也有一部分用户希望对OSSIM进行一些二次开发,不想总是依赖ISO镜像方式安装系统,希望能够能定制安装,本节就讲讲如何手动安装OSSIM的主要步骤,阅读本文需要扎实的Debian基础和OSSIM基础。裁剪OSSIM必须了解OSSIM组成,懂得源码编译方式安装OSSIM,至少也需要知道如何手工安装OSSIM ,下面以OSSIM 2.1 32位版本为基础为大家介绍手动安装Ossim的步骤。
1.概述
OSSIM组件:
。 Databases包括ossim, snort/acid and phpgacl等
。 Server其上运行关联引擎(correlation engine).
。 Web框架OSSIM的展示Web界面。
。 代理Agents
以上四大组件既能安装在同一台机器,也能安装在不同的机器,通常Databases、Server、Framework这三个组件安装在同一台机器中,Agents安装在另一台机器作为Sensor角色。
首先需要安装Debian GNU/Linux6.0(squeeze),注意必须安装软件开发环境(确保安装dpkg-dev fakeroot),安装完基本系统之后,在/etc/apt/source.list.d/alienvaut3中配置安装源(加入一行debhttp://data.alienvault.com/alienvault3/binary/Packages),下面的安装步骤即可顺利进行。
2.数据库
早期OSSIM使用MySQL数据库存储事件,我们首先进行手工安装
#apt-getinstall mysql-server mysql-client
接下来初始化root密码
#mysqladmin -u root password your_password
注意有关/etc/mysql/my.cnf配置的优化这里就不在解释。
2.1OSSIM数据库
下面手动创建OSSIM数据库结构,首先编辑数据库配置文件/etc/ossim/framework/ossim.conf
# mkdir/etc/ossim/
# cp -r$OSSIM_PATH/contrib/debian/framework /etc/ossim/
然后根据您的配置来调整这些值
ossim_base=ossim
ossim_user=root
ossim_pass=your_password
ossim_host=localhost
ossim_port=3306
给OSSIM创建新数据库
# mysql -uroot -p
mysql>create database ossim;
mysql>exit
# cd$OSSIM_PATH/db
# catcreate_mysql.sql | mysql -u root ossim -p
# catossim_data.sql snort_nessus.sql realsecure.sql | mysql -u rootossim -p
2.2Snort/Acid数据库
接着我们需要创建Snort和Acid数据库,即使你不需要在Sensor上安装,也必须建立这个数据库作为存储报警使用。
首先你可通过create_mysql.gz和create_acid-tibls_mysql.sql创建
下面创建snort数据库
# mysql -uroot -p
mysql>create database snort;
mysql>exit;
①Snort表:
# cat$SNORT_SOURCE/contrib/create_mysql | mysql -u root -psnort
②Acid表:
# cat$ACID_SOURCE/create_acid_tbls_mysql.sql | mysql -u root snort-p
如果你在同一台主机安装也可以使用下面的命令:
# zcat/usr/share/doc/snort-mysql/contrib/create_mysql.gz | mysql -u root-p snort
# cat/usr/share/acidlab/create_acid_tbls_mysql.sql | mysql -u root snort-p
3 服务器组件Server
现在,我们将编译服务器。需要下列包及其各自的依赖关系:
autoconf :automatic configure script builder (>= 2.59)
automake : A toolfor generating GNU Standards-compliant Makefiles (>=1.6.3)
gcc : The GNU Ccompiler (>= 3.3.4)
libglib2.0-dev :Development files for the GLib library (>= 2.4.7)
libgda2-dev :Development files for GNOME Data Access lib (>=1.0.4)
gda2-mysql :MySQL backend plugin for GNOME Data Access lib (>=1.0.4)
libgnet-dev :Developer files for GNet network library (>= 2.0.4)
通过以下命令进行安装:
# apt-getinstall autoconf automake libglib2.0-dev libgda2-dev gda2-mysqllibgnet2.0-dev
接着执行下面的步骤:
# cd$OSSIM_PATH/
#./autogen.sh
# cdsrc/
#make
# cpossim-server /usr/local/bin/
# cp -r$OSSIM_PATH/etc/server to /etc/ossim
编辑/etc/ossim/server/config.xml文件:
创建日志目录
# mkdir/var/log/ossim
运行Server
#ossim-server -d -c /etc/ossim/server/config.xml
4.框架(Framework)
下面编辑数据库配置:
ossim_type=mysql
ossim_base=ossim
ossim_user=root
ossim_pass=your_password
ossim_host=localhost
ossim_port=3306
接下来配置LAMP环境,并且支持SSL。
4.1.Apache + PHP + ADOdb
安装以下包及其各自的依赖关系:
apache-ssl :Versatile, high-performance HTTP server with SSL support (>=1.3.31)
php4 : Server-side,HTML-embedded scripting language (>= 4.3.9)
php4-cgi :Server-side, HTML-embedded scripting language (>=4.3.9)
libphp-adodb : The’adodb’ database abstraction layer for php (>= 4.52)
# apt-getinstall apache-ssl php4 php4-cgi libphp-adodb
php4-mysql : MySQLmodule for php4 (>= 4.3.9)
php4-pgsql :PostgreSQL module for php4 (>= 4.3.8)
php4-gd2 : GD module(with GD2) for php4 (>= 4.3.2+rc3)
libphp-phplot : Thegraphic library for php (>= 4.4.6)
libphp-jpgraph :Object oriented graph library for php4 (>= 1.5.2)
wwwconfig-common :Debian web auto configuration (>= 0.0.34)
#apt-getinstall php4-mysql php4-pgsql php4-gd2 libphp-phplot libphp-jpgraphwwwconfig-
common
# apt-getinstall php4-domxml php4-xslt
在/etc/ossim/framework/ossim.conf确保adodb_path=/usr/share/php/adodb/
4.2phpGACL
phpGACL是一组函数,它允许任何(如用户、远程主机)对象对另外一些(如页面、数据库)对象应用权限控制。
phpGACL提供成熟的权限控制与简单的管理,而且速度也是相当快,OSSIM引入phpGACL,利用它实现用户配置文件管理,主配置文件在/usr/share/ossim/include/ossim_acl.inc,phpGACL是通过ADODB库来连接数据库的所以他可以方便的连接mysql。
4.3RRDtool
OSSIM中使用RRD tool 1.2以上版本,安装:
#apt-getinstall rrdtool librrd0 librrd0-dev librrdp-perllibrrds-perl
4.4MRTG
# apt-getinstall mrtg libsnmp-session-perl
4.5Ntop
你需要以下包:
ntop : display networkusage in top-like format (>= 3.0)
libgd-dev : GDGraphics Library (>= 1.8.4)
# apt-getinstall libgd-dev
# apt-getinstall ntop
接着为admin设置密码
# ntop -untop
#/etc/init.d/ntop start
4.6Nmap
OSSIM中的主动服务检测器使用Nmap
# apt-getinstall nmap
4.7PDF报告
FPDF是一个开源工具,它能生成PDF文件。
php-fpdf : PHP classto generate PDF files (>= 1.52)
# apt-getinstall php-fpdf
5 代理Agents
安装以下包及其各自的依赖关系:
python : Aninteractive high-level object-oriented language (>=2.3.4)
python-dev: Headerfiles and a static library for Python (>= 2.3.4)
# apt-getinstall python python-dev
注意必须需要安装python-mysqldb,配置agent目录/etc/ossim/agent/
6.关联引擎和插件Plugins安装
7.其他工具安装
Pads
PassiveAsset Detection System (http://passive.sourceforge.net/)
p0f
# apt-getinstall p0f
arpwatch
# apt-getinstall arpwatch
详情请关注即将上市的《开源安全运维平台OSSIM最佳实践》一书。