一.OSSEC简要介绍:
OSSEC 是一款开源的入侵检测系统,包括了日志分析,全面检测,rook-kit检测。作为一款HIDS,OSSEC应该被安装在一台实施监控的系统中。另外有时 候不需要安装完全版本得OSSEC,如果有多台电脑都安装了OSSEC,那么就可以采用客户端/服务器模式来运行。客户机通过客户端程序将数据发回到服务 器端进行分析。在一台电脑上对多个系统进行监控对于企业或者家庭用户小游戏来说都是相当经济实用的。
对我来说OSSEC最大的优势在于它几乎 可以运行在任何一种操作系统上,比如Windows, Linux, OpenBSD/FreeBSD, 以及 MacOS。不过运行在Windows上的客户端无法实现root-kit检测,而其他系统上的客户端都没有问题。OSSEC的手册上说OSSEC目前还 不支持Windows系统下得root-kit检测
二.安装
1. 安装所需软件:Basically, for Unix systems, ossec just requires gcc and glibc.
下载软件:从http://www.ossec.net 上下载最新的OSSEC
源代码包;
2. 安装服务器:
1). 选择一台服务器作为OSSEC服务器;
2). 将OSSEC源代码包拷贝到该服务器并解压;
3). 进入OSSEC目录并运行install.sh开始安装(如果想让ossec支持mysql,则在安装前先需入src目录下执行make setdb命令,如果想让ossec支持更多代理,在src目录下执行make setmaxagents命令,ossec目前最大只支持2048个客户端,并且大多数系统对最大文件数有限制,我们可以通过ulimit -n 2048来增加系统支持的最大文件数(或者sysctl -w kern.maxfiles=2048;
4). 在提示输入安装类型时,输入server;
5). 在提示输入安装路径时,输入/opt/ossec;
6). 在提示是否希望接收E-MAIL通告时, 接受默认值, 并在接下来的提示中依次输入用来接收OSSEC 通告的E-MAIL地址, 邮件服务器的名字或IP地址,我这里是选择localhost作为mta,然后通过设置/etc/alias别名列表来将邮件转发到我指定的邮箱;
7). 其它提示接受默认值;
3. 安装代理:
1). 将OSSEC源代码包拷贝到某台欲在其上安装OSSEC代理的linux服务器上并解压;
2). 进入OSSEC目录并运行install.sh开始安装;
3). 在提示输入安装类型时,输入agent;
4). 在提示输入安装路径时,输入/opt/ossec;
5). 在提示输入服务器IP地址时输入我们的OSSEC服务器的IP地
址;
6). 其它提示接受默认值;
在欲在其上安装OSSEC代理的所有linux服务器执行1) – 6)
三.配置
1. 在OSSEC服务器上运行 /opt/ossec/bin/manage-agents;
2. 在某个OSSEC代理上运行 /opt/ossec/bin/manage-agents;
3. 在OSSEC服务器的主菜单下输入A/a 增加一个代理, 为该代理输入一个容易区别的名字(比如其hostname), 并输入其IP 地址;
4. 在主菜单下输入E/e 为该代理生成密钥;
5. 在该OSSEC代理的主菜单下输入I/i 准备导入OSSEC服务器生成的密钥;
6. 将OSSEC服务器生成的密钥复制到OSSEC代理;
7. 按Q/q键退出OSSEC服务器和代理, 并重新启动OSSEC服务器和代理(分别在OSSEC服务器和代理所在的服务器上执行/etc/init.d/ossec restart)
在欲在其上配置OSSEC代理的所有linux服务器执行2) – 7)
OSSEC安装
8. ossec安装完后,默认会在$directory生成如下几个目录:active-response,bin,etc,logs,queue, rules,stats,tmp,var,主要配置文件为/$directory/etc/ossec.conf,$directory为你ossec安 装目录,每个选项的详细说明请见:http://www.ossec.net/en/manual.html #installorder。规则文件目录为 /$directory/rules