OHID OSSEC 安装指南

OHID OSSEC 安装指南

    2006-xx-1 V1.0

 

一． 概述
OSSEC 是一款很优秀的主机型入侵检测和防护系统 , 它可以执行文件系统完整性检查 , rootkit 检查 , 和系统日志监控 , 它通过对系统日志的分析 , 可以检测出绝大多数的攻击 , 当其跟 IPLOG 集成后 , 还可以检测和对付端口扫描 , 忽悠 nmap 之类的端口扫描软件 , 使其不能判断出目标系统的 OS 类型 .

二． 安装
1. 下载软件：从 [url]http://www.ossec.net[/url] 上下载最新的 OSSEC

          源代码包；

2. 安装服务器：
   1). 选择一台服务器作为 OSSEC 服务器 ;

   2). 将 OSSEC 源代码包拷贝到该服务器并解压 ;

   3). 进入 OSSEC 目录并运行 install.sh 开始安装 ;

   4). 在提示输入安装类型时 , 输入 server;

   5). 在提示输入安装路径时 , 输入 /opt/ossec;

   6). 在提示是否希望接收 E-MAIL 通告时 , 接受默认值 , 并在接下来的提示中依次输入用来接收 OSSEC 通告的 E-MAIL 地址 , 邮件服务器的名字或 IP 地址 ;

   7). 其它提示接受默认值 ;

3. 安装代理 :

   1). 将 OSSEC 源代码包拷贝到某台欲在其上安装 OSSEC 代理的 linux 服务器上并解压 ;

   2). 进入 OSSEC 目录并运行 install.sh 开始安装 ;

   3). 在提示输入安装类型时 , 输入 agent;

   4). 在提示输入安装路径时 , 输入 /opt/ossec;

   5). 在提示输入服务器 IP 地址时输入我们的 OSSEC 服务器的 IP 地

    址 ;

   6). 其它提示接受默认值 ;

   在欲在其上安装 OSSEC 代理的所有 linux 服务器执行 1) �C 6)

三． 配置

1.       在 OSSEC 服务器上运行 /opt/ossec/bin/manage-agents;

2.       在某个 OSSEC 代理上运行 /opt/ossec/bin/manage-agents;

3.       在 OSSEC 服务器的主菜单下输入 A/a 增加一个代理 , 为该代理输入一个容易区别的名字 ( 比如其 hostname), 并输入其 IP 地址 ;

4.       在主菜单下输入 E/e 为该代理生成密钥 ;

5.       在该 OSSEC 代理的主菜单下输入 I/i 准备导入 OSSEC 服务器生成的密钥 ;

6.       将 OSSEC 服务器生成的密钥复制到 OSSEC 代理 ;

7.       按 Q/q 键退出 OSSEC 服务器和代理 , 并重新启动 OSSEC 服务器和代理 ( 分别在 OSSEC 服务器和代理所在的服务器上执行 /etc/init.d/ossec restart)

在欲在其上配置 OSSEC 代理的所有 linux 服务器执行 2) �C 7)

四． 跟 IPLOG 集成
( 一 ). 安装 IPLOG
    1. 在 [url]http://rpmfind.net[/url] 上查找并下载 iplog 的 RPM 包

        ( 版本 2.2.3 );
    2. 将该包安装到所有欲检测和防护端口扫描的 OSSEC 代理上 ;

           3. 将附录中的 /etc/iplog.conf 文件拷贝为 OSSEC 代理所在服务器

        的 /etc/iplog.conf, 并作相应修改 ;

           4. 启动 IPLOG, /etc/init.d/iplog start

   ( 二 ). 配置

        1. 修改 /opt/ossec/etc/decoder.xml, 在其末尾增加如下配置 :

           <!--                user-defined decoders             -->

<decoder name="iplog-scan">

 <prematch>\S+ scan detected</prematch>

 <regex offset="after_prematch">\S+ \S+ from (\S+)</regex>

 <order>srcip</order>

</decoder> 

     2. 在 /opt/ossec/rules 目录下增加一个文件 iplog_rules.xml, 其所有关系为 ossec:root, 其内容为 :

        <group name="syslog,errors,">

          <rule id="99990" level="7">

    <decoded_as>iplog-scan</decoded_as>

    <description>iplog scan detect</description>

   </rule>

</group>

     3. 修改 /opt/ossec/ossec.conf,

在 <include> 部分的末尾增加如下行 :

         <include>iplog_rules.xml</include>

         在 <localfile> 部分增加如下行 :

         <localfile>

          <log_format>syslog</log_format>

          <location>/var/log/iplog</location>

         </localfile>

     4. 重新启动 ossec: /etc/init.d/ossec restart

五． 提示
1. 可以在 /opt/ossec/ossec.conf 里面配置 OSSEC 处理哪些日志文件 ;

2. 可以在 /opt/ossec/ossec.conf 里面配置 OSSEC 在什么情况下告警 , 在什么情况下执行主动响应 ;

3. 如果没有经过十分充分的测试 , 不要开启主动响应 ;

六． 附录
1. /etc/iplog.conf

         user nobody

group nobody

 

pid-file /tmp/iplog.pid

 

logfile /var/log/iplog

facility log_daemon

priority log_info

    

set log_ip true

set log_dest false

set ignore_dns

    

# -- modify this section according your need -- #

#interface eth0,eth1

interface eth0

    

#promisc 0.0.0 .0/0.0.0.0

    

log tcp dport 1045:1055 sport ftp-data

    

#ignore udp from 192.168.0.2 sport 53

ignore tcp dport 1024: sport 20

ignore tcp dport 80

ignore icmp type unreach

ignore icmp type !echo

ignore udp from 127.1.2/24

ignore udp from 127.1.2/255.255.255.0

# --------------------------------------------- #

    

# Port Scan Check

set portscan true

set icmp true

set frag true

set smurf true

set bogus true

set fin_scan true

set syn_scan true

set udp_scan true

set fool_nmap true

set xmas_scan true

set null_scan true

set ping_flood true

set traceroute true

本文出自 “邹可见” 博客，转载请与作者联系！