Ossec企业入侵检测系统快速部署

Ossec入侵检测检测系统快速部署

官方:http://www.ossec.net

环境规划:

节点 hostname IP
server linux-node20 10.211.55.20
client linux-node21 10.211.55.21

1、server部署,./install.sh按照提示一直下一步就可以了。

wget https://github.com/ossec/ossec-hids/archive/2.9.2.tar.gz #服务端跟客户端的安装使用同一个包
[root@linux-node20 ~]# tar zxf 2.9.2.tar.gz
[root@linux-node20 ~]# cd ossec-hids-2.9.2/
[root@linux-node20 ossec-hids-2.9.2]# ./install.sh #选server,然后根据提示下一步完成安装。

注:每次交互式模式安装就特别的麻烦,所以先在服务端修改在/etc/preloaded-vars.conf预批量配置实现非交互模式安装
查看修改的:

etc]# egrep -v "^#|^$" preloaded-vars.conf
USER_LANGUAGE="en" # For english
USER_NO_STOP="y"
USER_INSTALL_TYPE="agent"
USER_DIR="/data/ossec"
USER_ENABLE_ACTIVE_RESPONSE="y"
USER_ENABLE_SYSCHECK="y"
USER_ENABLE_ROOTCHECK="y"
USER_AGENT_SERVER_IP="10.211.55.20"
USER_ENABLE_SYSLOG="y"
USER_ENABLE_FIREWALL_RESPONSE="y"
[root@linux-node20 etc]# scp -rp preloaded-vars.conf root@10.211.55.21:/data/ossec/etc #拷贝到客户端实现非交互模式安装

2、client部署直接./install.sh,这样就实现非交互式模式了。

[root@linux-node21 ossec-hids-2.9.2]# ./install.sh

注:ossec服务端跟客户端安装完成后,我们知道在ossec中,客户端需要先注册到服务端上,才可以正常启动和被服务端管理。

3、如果每个客户端都需要服务端生成密钥然后客户端导入那就很啃爹,所以使用ossec-authd完成客户端自动注册

https://www.ossec.net/docs/manual/agent/agent-management.html#managing-agents #官方的手动注册链接,这里不讲忽略。

Ossec-authd会提供一个临时的注册接口,自动接收客户端的连接并自动为客户端生成对应的秘钥。该过程不需要认证,所以在ossec-authd启动的这个期间任何网络可达的客户端都可以注册到服务上来。由于没有认证,所以只在部署的时候开启或者设置iptable规则。
ossec-authd自动注册官方文档:

https://www.ossec.net/docs/programs/agent-auth.html
https://www.ossec.net/docs/programs/ossec-authd.html#ossec-authd #服务端creating SSL keys

在服务端操作:

  • Creating SSL Keys
[root@linux-node20 ~]# openssl genrsa -out /data/ossec/etc/sslmanager.key 2048 #生成私钥
[root@linux-node20 ~]# openssl req -new -x509 -key /data/ossec/etc/sslmanager.key -out /data/ossec/etc/sslmanager.cert -days 365 #生成公钥
#上面密钥对生成后会生成一个ossec-authd命令
  • 服务端启动自动注册接口
[root@linux-node20 ~]# /data/ossec/bin/ossec-authd -p 1515

切换到客户端操作:

#/data/ossec/bin/agent-auth -m 10.211.55.20 -p 1515 -A example-agent
[root@linux-node21 ~]# /data/ossec/bin/agent-auth -m 10.211.55.20 -p 1515
#注:客户端注册-A是取名字,这里不要使用,让系统默认以自己的hostname去注册比较好(所有客户端批量注册后,然后关掉服务端,避免被其它不知道的客户端注册)

到这里整个安装并自动注册的过程基本完成。

服务端跟客户端启动:

[root@linux-node20 ~]# /data/ossec/bin/ossec-control start
[root@linux-node21 ~]# /data/ossec/bin/ossec-control start

查看管理客户端:

[root@linux-node20 ~]# /data/ossec/bin/agent_control -lc

OSSEC HIDS agent_control. List of available agents:
   ID: 000, Name: linux-node20 (server), IP: 127.0.0.1, Active/Local
   ID: 1024, Name: linux-node21, IP: any, Active
posted @ 2018-11-28 17:20  ShenghuiChen  阅读(978)  评论(0编辑  收藏  举报