手动安装Ossim

手动安装Ossim

很多关注《UNIX/Linux网络日志分析与流量监控》一书的朋友都被里面丰富的日志分析案例所吸引,尤其是最后精彩的OSSIM应用案例分析更加引人入胜,很多朋友都在自己的企业网中部署了OSSIM,也有一部分用户希望对OSSIM进行一些二次开发,不想总是依赖ISO镜像方式安装系统,希望能够能定制安装,本节就讲讲如何手动安装OSSIM的主要步骤,阅读本文需要扎实的Debian基础和OSSIM基础。裁剪OSSIM必须了解OSSIM组成,懂得源码编译方式安装OSSIM,至少也需要知道如何手工安装OSSIM ,下面以OSSIM 2.1 32位版本为基础为大家介绍手动安装Ossim的步骤。

1.概述

OSSIM组件:

 。       Databases包括ossim, snort/acid and phpgacl

 。       Server其上运行关联引擎(correlation engine.

 。       Web框架OSSIM的展示Web界面。

 。      代理Agents

以上四大组件既能安装在同一台机器,也能安装在不同的机器,通常DatabasesServerFramework这三个组件安装在同一台机器中,Agents安装在另一台机器作为Sensor角色。

首先需要安装Debian GNU/Linux6.0squeeze),注意必须安装软件开发环境(确保安装dpkg-dev fakeroot),安装完基本系统之后,在/etc/apt/source.list.d/alienvaut3中配置安装源(加入一行debhttp://data.alienvault.com/alienvault3/binary/Packages),下面的安装步骤即可顺利进行。

2.数据库

早期OSSIM使用MySQL数据库存储事件,我们首先进行手工安装

#apt-getinstall mysql-server mysql-client

接下来初始化root密码

#mysqladmin -u root password your_password

注意有关/etc/mysql/my.cnf配置的优化这里就不在解释。

2.1OSSIM数据库

下面手动创建OSSIM数据库结构,首先编辑数据库配置文件/etc/ossim/framework/ossim.conf

# mkdir/etc/ossim/

# cp -r$OSSIM_PATH/contrib/debian/framework /etc/ossim/

然后根据您的配置来调整这些值

ossim_base=ossim

ossim_user=root

ossim_pass=your_password

ossim_host=localhost

ossim_port=3306

OSSIM创建新数据库

# mysql -uroot -p

mysql>create database ossim;

mysql>exit

# cd$OSSIM_PATH/db

# catcreate_mysql.sql | mysql -u root ossim -p

# catossim_data.sql snort_nessus.sql realsecure.sql | mysql -u rootossim -p

2.2Snort/Acid数据库

接着我们需要创建SnortAcid数据库,即使你不需要在Sensor上安装,也必须建立这个数据库作为存储报警使用。

首先你可通过create_mysql.gzcreate_acid-tibls_mysql.sql创建

下面创建snort数据库

# mysql -uroot -p

mysql>create database snort;

mysql>exit;

Snort表:

# cat$SNORT_SOURCE/contrib/create_mysql | mysql -u root -psnort

Acid表:

# cat$ACID_SOURCE/create_acid_tbls_mysql.sql | mysql -u root snort-p

如果你在同一台主机安装也可以使用下面的命令:

# zcat/usr/share/doc/snort-mysql/contrib/create_mysql.gz | mysql -u root-p snort

# cat/usr/share/acidlab/create_acid_tbls_mysql.sql | mysql -u root snort-p

3 服务器组件Server

现在,我们将编译服务器。需要下列包及其各自的依赖关系:

 autoconf :automatic configure script builder (>= 2.59)

 automake : A toolfor generating GNU Standards-compliant Makefiles (>=1.6.3)

 gcc : The GNU Ccompiler (>= 3.3.4)

 libglib2.0-dev :Development files for the GLib library (>= 2.4.7)

 libgda2-dev :Development files for GNOME Data Access lib (>=1.0.4)

 gda2-mysql :MySQL backend plugin for GNOME Data Access lib (>=1.0.4)

 libgnet-dev :Developer files for GNet network library (>= 2.0.4)

通过以下命令进行安装:

# apt-getinstall autoconf automake libglib2.0-dev libgda2-dev gda2-mysqllibgnet2.0-dev

接着执行下面的步骤:

# cd$OSSIM_PATH/

#./autogen.sh

# cdsrc/

#make

# cpossim-server /usr/local/bin/

# cp -r$OSSIM_PATH/etc/server to /etc/ossim

编辑/etc/ossim/server/config.xml文件:

创建日志目录

# mkdir/var/log/ossim

运行Server

#ossim-server -d -c /etc/ossim/server/config.xml

4.框架(Framework)

下面编辑数据库配置:

ossim_type=mysql

ossim_base=ossim

ossim_user=root

ossim_pass=your_password

ossim_host=localhost

ossim_port=3306

接下来配置LAMP环境,并且支持SSL

4.1.Apache + PHP + ADOdb

安装以下包及其各自的依赖关系:

 apache-ssl :Versatile, high-performance HTTP server with SSL support (>=1.3.31)

 php4 : Server-side,HTML-embedded scripting language (>= 4.3.9)

 php4-cgi :Server-side, HTML-embedded scripting language (>=4.3.9)

 libphp-adodb : The’adodb’ database abstraction layer for php (>= 4.52)

# apt-getinstall apache-ssl php4 php4-cgi libphp-adodb

 php4-mysql : MySQLmodule for php4 (>= 4.3.9)

 php4-pgsql :PostgreSQL module for php4 (>= 4.3.8)

 php4-gd2 : GD module(with GD2) for php4 (>= 4.3.2+rc3)

 libphp-phplot : Thegraphic library for php (>= 4.4.6)

 libphp-jpgraph :Object oriented graph library for php4 (>= 1.5.2)

 wwwconfig-common :Debian web auto configuration (>= 0.0.34)

#apt-getinstall php4-mysql php4-pgsql php4-gd2 libphp-phplot libphp-jpgraphwwwconfig-

common

# apt-getinstall php4-domxml php4-xslt

/etc/ossim/framework/ossim.conf确保adodb_path=/usr/share/php/adodb/

4.2phpGACL

phpGACL是一组函数,它允许任何(如用户、远程主机)对象对另外一些(如页面、数据库)对象应用权限控制。

phpGACL提供成熟的权限控制与简单的管理,而且速度也是相当快,OSSIM引入phpGACL,利用它实现用户配置文件管理,主配置文件在/usr/share/ossim/include/ossim_acl.incphpGACL是通过ADODB库来连接数据库的所以他可以方便的连接mysql

4.3RRDtool

OSSIM中使用RRD tool 1.2以上版本,安装:

#apt-getinstall rrdtool librrd0 librrd0-dev librrdp-perllibrrds-perl

4.4MRTG

# apt-getinstall mrtg libsnmp-session-perl

4.5Ntop

你需要以下包:

 ntop : display networkusage in top-like format (>= 3.0)

 libgd-dev : GDGraphics Library (>= 1.8.4)

# apt-getinstall libgd-dev

# apt-getinstall ntop

接着为admin设置密码

# ntop -untop

#/etc/init.d/ntop start

4.6Nmap

OSSIM中的主动服务检测器使用Nmap

# apt-getinstall nmap

4.7PDF报告

FPDF是一个开源工具,它能生成PDF文件。

 php-fpdf : PHP classto generate PDF files (>= 1.52)

# apt-getinstall php-fpdf

5 代理Agents

安装以下包及其各自的依赖关系:

 python : Aninteractive high-level object-oriented language (>=2.3.4)

 python-dev: Headerfiles and a static library for Python (>= 2.3.4)

# apt-getinstall python python-dev

注意必须需要安装python-mysqldb,配置agent目录/etc/ossim/agent/

6.关联引擎和插件Plugins安装

7.其他工具安装

 

  • Pads

PassiveAsset Detection System (http://passive.sourceforge.net/)

 

  • p0f

# apt-getinstall p0f

 

  •  arpwatch

# apt-getinstall arpwatch

详情请关注即将上市的《开源安全运维平台OSSIM最佳实践》一书。


你可能感兴趣的:(ossim)