开源入侵检测系统OSSEC搭建之二:客户端安装
上一篇文章中已经将OSSEC服务端的安装以及客户端的Key导出操作做了解说,接下来在另一台虚拟机中安装客户端,与安装服务端类似同样需要安装ossec,步骤如下。
一、下载ossec-hids-2.8.3.tar.gz并解压
root@kali2:~# wget https://bintray.com/artifact/download/ossec/ossec-hids/ossec-hids-2.8.3.tar.gz
root@kali2:~# tar zxf ossec-hids-2.8.3.tar.gz
root@kali2:~# cd ossec-hids-2.8.3/
二、安装客户端
root@kali2:~/ossec-hids-2.8.3# ./install.sh ** Para instala??o em português, escolha [br]. ** 要使用中文进行安装, 请选择 [cn]. ** Fur eine deutsche Installation wohlen Sie [de]. ** Για εγκατ?σταση στα Ελληνικ?, επιλ?ξτε [el]. ** For installation in English, choose [en]. ** Para instalar en Espa?ol , eliga [es]. ** Pour une installation en fran?ais, choisissez [fr] ** A Magyar nyelv? telepítéshez válassza [hu]. ** Per l'installazione in Italiano, scegli [it]. ** 日本語でインストールします.選択して下さい.[jp]. ** Voor installatie in het Nederlands, kies [nl]. ** Aby instalowa? w j?zyku Polskim, wybierz [pl]. ** Для инструкций по установке на русском ,введите [ru]. ** Za instalaciju na srpskom, izaberi [sr]. ** Türk?e kurulum i?in se?in [tr]. (en/br/cn/de/el/es/fr/hu/it/jp/nl/pl/ru/sr/tr) [en]: cn OSSEC HIDS v2.8.3 安装脚本 - http://www.ossec.net 您将开始 OSSEC HIDS 的安装. 请确认在您的机器上已经正确安装了 C 编译器. 如果您有任何疑问或建议,请给 dcid@ossec.net (或 daniel.cid@gmail.com) 发邮件. - 系统类型: Linux kali2 4.0.0-kali1-686-pae - 用户: root - 主机: kali2 -- 按 ENTER 继续或 Ctrl-C 退出. -- 1- 您希望哪一种安装 (server, agent, local or help)? agent - 选择了 Agent(client) 类型的安装. 2- 正在初始化安装环境. - 请选择 OSSEC HIDS 的安装路径 [/var/ossec]: /opt/ossec - OSSEC HIDS 将安装在 /opt/ossec . 3- 正在配置 OSSEC HIDS. 3.1- 请输入 OSSEC HIDS 服务器的IP地址或主机名: 192.168.218.136 - 添加服务器IP 192.168.218.136 3.2- 您希望运行系统完整性检测模块吗? (y/n) [y]: - 系统完整性检测模块将被部署. 3.3- 您希望运行 rootkit检测吗? (y/n) [y]: - rootkit检测将被部署. 3.4 - 您希望开启联动(active response)功能吗? (y/n) [y]: 3.5- 设置配置文件以分析一下日志: -- /var/log/messages -- /var/log/auth.log -- /var/log/syslog -- /var/log/dpkg.log -- /var/log/apache2/error.log (apache log) -- /var/log/apache2/access.log (apache log) -如果你希望监控其他文件, 只需要在配置文件ossec.conf中 添加新的一项. 任何关于配置的疑问您都可以在 http://www.ossec.net 找到答案. --- 按 ENTER 以继续 ---
具体的安装过成略,当看到以下提示时说明客户端安装成功。
- 系统类型是 Debian (Ubuntu or derivative). - 修改启动脚本使 OSSEC HIDS 在系统启动时自动运行 - 已正确完成系统配置. - 要启动 OSSEC HIDS: /opt/ossec/bin/ossec-control start - 要停止 OSSEC HIDS: /opt/ossec/bin/ossec-control stop - 要查看或修改系统配置,请编辑 /opt/ossec/etc/ossec.conf 感谢使用 OSSEC HIDS. 如果您有任何疑问,建议或您找到任何bug, 请通过 contact@ossec.net 或邮件列表 ossec-list@ossec.net 联系我们. ( http://www.ossec.net/en/mailing_lists.html ). 您可以在 http://www.ossec.net 获得更多信息 --- 请按 ENTER 结束安装 (下面可能有更多信息). ---
三、配置客户端
配置ossec客户端就是把刚才由服务端生成的key,在客户端中导入
root@kali2:~/ossec-hids-2.8.3# /opt/ossec/bin/manage_agents **************************************** * OSSEC HIDS v2.8.3 Agent manager. * * The following options are available: * **************************************** (I)mport key from the server (I). (Q)uit. Choose your action: I or Q: I * Provide the Key generated by the server. * The best approach is to cut and paste it. *** OBS: Do not include spaces or new lines. Paste it here (or '\q' to quit): MDAxIGFnZW50LWthbGkgMTkyLjE2OC4yMTguMTM3IDQ0NTg0MTQ5ZjMzODc2YzA4MDA0MTdlY2JkYWQ5ODc1NDRhZjc1ZmEyYWY0ZmFkMzU4OTBmMDYxMjE0ODA2ZTE= Agent information: ID:001 Name:agent-kali IP Address:192.168.218.137 Confirm adding it?(y/n): Y Added. ** Press ENTER to return to the main menu.
启动客户端
root@kali2:~/ossec-hids-2.8.3# /opt/ossec/bin/ossec-control start
至此,客户端已经安装完成且已导入从服务端哪里获得的Key值,接下来的工作就是要装一个
第三方的日志报警显示界面,推荐展示平台为analogi,具体的安装方法请参考文章开源入侵检测系统OSSEC搭建之三:Web界面安装
