OSSEC安装

实验声明:本实验教程仅供研究学习使用,请勿用于非法用途,违者一律自行承担所有风险!

实验名称

OSSEC安装实验

实验原理

OSSEC是著名的基于主机的IDS系统,基于主机的IDS系统与基于网络的IDS是两个完全不同的系统,其工作原理是根据主机的表现,进行监控。 其有日志检测、文件完整性检测、后门检测、主动响应等功能。

实验环境

三台主机 一台centos7.5 作为ossec 服务器

一台centos7.5 作为ossec 客户端

一台Windows 作为web浏览器,查看OSSEC告警。

实验目的

学会安装OSSEC服务器与WRB页面。

实验步骤

一、安装数据库mysql

注意:实际上安装的是mariadb yum install -y mysql

安装mariadb服务 yum install -y mariadb-server

创建OSSEC数据库

启动mysql服务 systemctl start mariadb 连接mysql mysql

create database ossec;    //创建数据库
grant INSERT,SELECT,UPDATE,CREATE,DELETE,EXECUTE on ossec.* to ossec@localhost identified by '360College'; //创建用户ossec,密码为360College,并授权 
flush privileges;  //刷新权限 
exit  //退出数据库

测试数据库连接正常

mysql -u ossec -p

输入密码360College

show databases;

二、安装OSSEC服务器

准备安装环境

yum install php php-mysql httpd mysql-devel

下载OSSEC

wget -U ossec https://bintray.com/artifact/download/ossec/ossec-hids/ossec-hids-2.8.3.tar.gz

解压OSSEC

tar -zxvf ossec-hids-2.8.3.tar.gz

安装数据库支持

cd ossec-hids-2.8.3
cd src;make setdb;cd..

开始安装OSSEC

执行 ./install.sh 选择中文安装 

选择安装服务器。 

其它默认回车就行。

安装完成

三、初始化数据库

开启数据库支持

/var/ossec/bin/ossec-control enable database

导入数据库表结构

mysql -u ossec -D ossec -p < src/os_dbd/mysql.schema 输入密码360College 

四、修改OSEEC配置文件

添加权限 chmod u+w /var/ossec/etc/ossec.conf 修改文件 vim /var/ossec/etc/ossec.conf

 <database_output>
 <hostname>127.0.0.1</hostname>
    <username>ossec</username>
    <password>ossec</password>
    <database>360College</database>
     <type>mysql</type>
 </database_output>

注意添加上述配置时,不要插入到其它的配置中。

配置允许接收的syslogIP

  <remote>
    <connection>syslog</connection>
    <allowed-ips>192.168.0.0/24</allowed-ips>
  </remote>

五、添加ossec客户端

/var/ossec/bin/manage_agents

导出客户端密钥

这个密钥是客户端安装时必须的,需要记录下来。 我这里是 MDAxIGNlbnRvcy10ZXN0IDE5Mi4xNjguMC43NCAyZGM4MzZkZTY0YTVkNjI1YWNiZTczNDg5MzBhMzM5Zjg5MDViOGQ1ZDIwODY0ZWJhYThlYmVkYzA4OGMyNzg2

六、为OSSEC安装WEB界面

curl -O https://codeload.github.com/ossec/ossec-wui/tar.gz/0.9
tar xzvf 0.9
cd ossec-wui-0.9/
cp -Rf * /var/www/html/
./setup.sh

注意输入对应信息 用户名 ossec 密码 360College 重复密码 360College WEB SERVER 用户名:apache 

七、安装OSSEC客户端

登录客户端机器 sudo -i 输入密码360College,切换成root用户

下载OSSEC安装包

wget -U ossec https://bintray.com/artifact/download/ossec/ossec-hids/ossec-hids-2.8.3.tar.gz

解压并安装

tar -zxvf ossec-hids-*.tar.gz
cd ossec-hids-*
./install.sh

选择agent安装

输入对应服务器IP

导入第五步中,服务生成的密钥 /var/ossec/bin/manage_agents

安装完成,启动客户端服务 /var/ossec/bin/ossec-control start

八、启动服务器服务

切换到服务器操作 /var/ossec/bin/ossec-control start

systemctl start httpd

九、使用浏览器查看信息

登录windows 使用web浏览器查看OSSEC信息

因为我们这里没有配置过多的规则,所以没有告警

实验总结

OSSEC是开源IDS平台,其内置了很多优秀的规则,后述实验我们会进一步详解OSSEC的具体使用。

posted @ 2020-11-17 21:28  码小农的幸福生活  阅读(1430)  评论(0编辑  收藏  举报