OSSEC监测文件完整性
实验名称
OSSEC监测文件完整性
实验原理
OSSEC根据文件的哈希值,来判断文件是否发生了改变 将需要监控的文件,加入OSSEC的文件完整性检查清单,即可。
实验环境
三台主机 一台OSSEC服务器,已安装完成 一台OSSEC客户端,未安装 一台WEB浏览器,查看完整性监测结果
实验步骤
一、在服务器上生成OSSEC客户端信息
登录OSSEC服务器 sudo -i 输入密码360College,切换root用户
生成客户端信息
/var/ossec/bin/manage_agents 注意IP地址与实验环境一致 
导出客户端密钥 注意是002,不是001 
启动服务器 /var/ossec/bin/ossec-control start
二、安装客户端,并导入信息
安装客户端
登录OSSEC客户端机器
sudo -i 输入密码360College,切换root用户
下载安装程序
wget -U ossec https://bintray.com/artifact/download/ossec/ossec-hids/ossec-hids-2.8.3.tar.gz
解压
tar -zxvf ossec-hids-*.tar.gz
进入目录安装
cd ossec-hids-*
执行安装脚本
./install.sh 注意安装agent与输入正确的服务器IP
导入客户端密钥
/var/ossec/bin/manage_agents
启动客户端
/var/ossec/bin/ossec-control start
三、查看WEB页面
登录windows机器 ,查看OSSEC的WEB
四、配置客户端文件监控
登录ossec客户端操作
vim /var/ossec/etc/ossec.conf 注释掉原来的检测项,修改检查周期为1分钟(不修改会检测很多文件) 新增的监控文件为/tmp/1.txt
重启客户端服务 /var/ossec/bin/ossec-control restart
新建/tmp/1.txt文件
vim /tmp/1.txt 输入任意内容,保存
五、查看当前文件HASH
登录WEB
六、验证监控有效
登录OSSEC客户端,修改/tmp/1.txt
vim /tmp/1.txt 随便修改内容后保存
再次查看WEB,如果看不到现象,请等待一分钟。
实验总结
OSSEC的文件完整性监控,会从四个角度进行 文件哈希值,包含MD5和SHA1,文件大小,文件修改时间。
