开源入侵检测系统OSSEC搭建之一:服务端安装
OSSEC是一款开源的多平台的入侵检测系统,可以运行于Windows, Linux, OpenBSD/FreeBSD,
以及 MacOS等操作系统中。主要功能有日志分析、完整性检查、rootkit检测、基于时间的警报和主动响应。
除了具有入侵检测系统功能外,它还一般被用在SEM/SIM(安全事件管理(SEM: Security Event Management)/
安全信息管理(SIM:SecurityInformation Management))解决方案中。因其强大的日志分析引擎,
ISP(Internet service provider)(网络服务提供商)、大学和数据中心用其监控和分析他们的防火墙、
入侵检测系统、网页服务和验证等产生的日志。
一、环境准备
》OSSEC服务器端:VMware下CentOS7系统
》OSSEC客户端:VMware下KaliLinux 2.0系统
二、工具准备
》安装ossec 安装过程中所需要用到的管理库以及软件等
》下载最新版的ossec即ossec-hids-2.8.3.tar.gz
》下载图形分析工具analogi
三、开始安装
1. 安装管理库及软件 -->mysql服务。
需要注意的是ossec需要用到mysql数据库,而直接yum install mysql的话会报错,原因在于yum安装库里
没有直接可以用的安装包,此时需要用到MariaDB了,MariaDB是MySQL社区开发的分支,也是一个增强型的替代品。
具体安装步骤请参考另一篇文章CentOS7安装mysql-server
2. 安装管理库及软件 -->wget gcc make httpd php php-mysql服务
[root@localhost ~]# yum install wget gcc make httpd php php-mysql sendmail
3. 启动httpd、mysql、sendmail服务,详细启动、查看过程请参考Ossec常用命令
》 启动httpd服务并查看状态
[root@localhost ~]# systemctl start httpd
[root@localhost ~]# systemctl status httpd.service
》 启动mysql服务并查看状态
[root@localhost ~]# systemctl start mariadb
[root@localhost ~]# systemctl status mariadb.service
》 启动sendmail服务并查看状态
[root@localhost ~]# systemctl start sendmail.service
[root@localhost ~]# systemctl status sendmail.service
4. 创建数据库以方便我们下面的安装配置,连接到本机的MySQ
[root@localhost ~]# mysql -uroot -p Enter password: Welcome to the MariaDB monitor. Commands end with ; or \g. Your MariaDB connection id is 13 Server version: 5.5.47-MariaDB MariaDB Server Copyright (c) 2000, 2015, Oracle, MariaDB Corporation Ab and others. Type 'help;' or '\h' for help. Type '\c' to clear the current input statement. MariaDB [(none)]> create database ossec; Query OK, 1 row affected (0.00 sec) MariaDB [(none)]> grant INSERT,SELECT,UPDATE,CREATE,DELETE,EXECUTE on ossec.* to ossec@localhost; Query OK, 0 rows affected (0.04 sec) MariaDB [(none)]> set password for ossec@localhost=PASSWORD('ossec'); Query OK, 0 rows affected (0.00 sec) MariaDB [(none)]> flush privileges; Query OK, 0 rows affected (0.00 sec) MariaDB [(none)]> exit Bye [root@localhost ~]#
5. 安装ossec服务器端
》官网下载最新版ossec即ossec-hids-2.8.3.tar.gz并解压
wget https://bintray.com/artifact/download/ossec/ossec-hids/ossec-hids-2.8.3.tar.gz tar zxf ossec-hids-2.8.3.tar.gz cd ossec-hids-2.8.3/
》为了使OSSEC支持MySQL,安装前执行make setdb命令
看到最后一行[Info: Compiled with MySQL support.]的信息时说明可以正常支持MySQL
[root@localhost ossec-hids-2.8.3]# cd src; make setdb; cd .. Error: PostgreSQL client libraries not installed. Info: Compiled with MySQL support.
》执行install.sh脚本
具体安装的信息可以参考另一篇文章OSSEC 安装执行./install.sh详细信息,当看到如下信息时
说明安装服务器端已经成功。
- 系统类型是 Redhat Linux. - 修改启动脚本使 OSSEC HIDS 在系统启动时自动运行 - 已正确完成系统配置. - 要启动 OSSEC HIDS: /opt/ossec/bin/ossec-control start - 要停止 OSSEC HIDS: /opt/ossec/bin/ossec-control stop - 要查看或修改系统配置,请编辑 /opt/ossec/etc/ossec.conf 感谢使用 OSSEC HIDS. 如果您有任何疑问,建议或您找到任何bug, 请通过 contact@ossec.net 或邮件列表 ossec-list@ossec.net 联系我们. ( http://www.ossec.net/en/mailing_lists.html ). 您可以在 http://www.ossec.net 获得更多信息 --- 请按 ENTER 结束安装 (下面可能有更多信息). ---
6. 配置ossec服务端
》执行下面命令启用数据库支持
[root@localhost ossec-hids-2.8.3]# /opt/ossec/bin/ossec-control enable database
》导入MySQL表结构到MySQL中
[root@localhost ossec-hids-2.8.3]# mysql -uossec -p ossec < ./src/os_dbd/mysql.schema
》修改部分配置文件的权限
[root@localhost ossec-hids-2.8.3]# chmod u+w /opt/ossec/etc/ossec.conf
》编辑ossec.conf文件,在ossec_config中添加MySQL配置
编辑ossec.conf文件,在ossec_config标签内部添加如下MySQL配置
<database_output>
<hostname>192.168.218.136</hostname>
<username>ossec</username>
<password>ossec</password>
<database>ossec</database>
<type>mysql</type>
</database_output>
》由于服务端安装过程中设置了支持接受远程机器的syslog,所以需要对ossec.conf文件中的
syslog部分进行配置,修改ossec.conf文件,将需要收集的网段全添加进去。(配置后的ossec.conf)
<remote>
<connection>syslog</connection>
<allowed-ips>192.168.0.0/16</allowed-ips>
</remote>
7. 添加ossec客户端并导出Key
[root@localhost ~]# /opt/ossec/bin/manage_agents **************************************** * OSSEC HIDS v2.8.3 Agent manager. * * The following options are available: * **************************************** (A)dd an agent (A). (E)xtract key for an agent (E). (L)ist already added agents (L). (R)emove an agent (R). (Q)uit. Choose your action: A,E,L,R or Q: A - Adding a new agent (use '\q' to return to the main menu). Please provide the following: * A name for the new agent: agent-kali * The IP Address of the new agent: 192.168.218.137 * An ID for the new agent[001]: Agent information: ID:001 Name:agent-kali IP Address:192.168.218.137 Confirm adding it?(y/n): y Agent added.
客户端Name为agent-kali,ip地址为192.168.218.137的记录已经添加完毕,但是需要导出一个Key,
这个Key的作用是在客户端中导入并使得服务端与客户端达到联动的效果。导出Key步骤如下
**************************************** * OSSEC HIDS v2.8.3 Agent manager. * * The following options are available: * **************************************** (A)dd an agent (A). (E)xtract key for an agent (E). (L)ist already added agents (L). (R)emove an agent (R). (Q)uit. Choose your action: A,E,L,R or Q: E Available agents: ID: 001, Name: agent-kali, IP: 192.168.218.137 Provide the ID of the agent to extract the key (or '\q' to quit): 001 Agent key information for '001' is: MDAxIGFnZW50LWthbGkgMTkyLjE2OC4yMTguMTM3IDQ0NTg0MTQ5ZjMzODc2YzA4MDA0MTdlY2JkYWQ5ODc1NDRhZjc1ZmEyYWY0ZmFkMzU4OTBmMDYxMjE0ODA2ZTE= ** Press ENTER to return to the main menu.
导出的Key值:
MDAxIGFnZW50LWthbGkgMTkyLjE2OC4yMTguMTM3IDQ0NTg0MTQ5ZjMzODc2YzA4MDA0MTdlY2JkYWQ5ODc1NDRhZjc1ZmEyYWY0ZmFkMzU4OTBmMDYxMjE0ODA2ZTE=
至此,OSSEC服务端已经安装结束并且导出了客户端的Key,但是不安装客户端的情况下直接启动服务端会报错,
客户端的安装请参考文章开源入侵检测系统OSSEC搭建之二:客户端安装
