搭建Linux入侵检测系统(ids)

OSSES是一个基于主机的入侵检测系统，它集HIDS、日志监控、安全事件管理于一体

OSSES支持Linux、Solaris、Windows和macOS x 操作系统

OSSES提供如下功能：

文件完整性检查：例如，通过监控/etc/passwd和/etc/shadow文件，可以知道是否有新增系统用户或者用户账号改变的情况

日志监控：例如，通过监控/var/log/secure日志，可以分析出密码是否有暴力破解

Rrootkit检查：通过/sbin  ,  /bin 等系统核心命令执行程序的规则检查，可以知道是否被替换了恶意程序，发现异常时可以报警处理

 

首先 我们假设有2台Linux虚拟机，Centos6作为OSSES server  ，IP为192.168.23.133 ，Centos7作为OSSES agent ，ip为192.168.23.132

在server和agent都需要先进行IDS的安装

yum install -y gcc inotify-tools bind-utils

wget -O ossec.2.9.3.tar.gz https://github.com/ossec/ossec-hids/archive/2.9.3.tar.gz

下载完成后解压安装归档文件，本次我们下载到/usr/src中

下载完成后开始进入ossec-hids-2.9.3  并运行 ./install.sh

选择cn 中文

 

 继续配置安装

后续所有选项我们都默认选Y ，特殊情况根据需求再修改

然后在agent服务器上执行同样的安装操作

当所有的安装完成后 我们再到server上进行配置，设置agent的IP 。通过/var/osses/bin/manage_agents进入配置选项，A表示添加agent

 

 

 

接着输入agent名字 任意取

agent的ip地址

然后enter确认agent的ID  

最后选择Y确认添加

此时会生成一长串的密钥 保存好 可以复制下来，然后Q退出server配置 接下来进入Agent配置

 

 选择I 添加刚才生成的密钥 放入就行 然后Q退出配置在server和agent启动OSSEC

/var/ossec/bin/ossec-control start

agent启动之前需要在/var/ossec/etc/shared 中创建agent.conf文件，在文件中进行简单的配置如下：

 

<agent_config>

<localfile>

<localtion>/var/log/my.log</localtion>

<log_format>syslog</log_format>

</localfile>

</agent_config>

 

配置完成即可启动

最后通过/var/ossec/bin/ossec-control start 启动服务器和客户端的服务，注意server的开启是否正常

 /var/ossec/bin/ossec-control status