OSSECの強化、セキュリティの設定を使用してCentOSの6.4システム

Ossec の http://www.ossec.NET/ossec ヘルプ http://ossec-docs.readthedocs.org/en/latest/manual/index.html OSSEC オープン ソース ホスト ベースの侵入検出システムは、ログ分析、ファイルの整合性チェック、ポリシーの監視、ルートキットの検出、リアルタイムのアラートおよびアクティブレス ポンスを実行.

OSSEC公式サイトhttp://www.ossec.net/

OSSECヘルプドキュメントhttp://ossec-docs.readthedocs.org/en/latest/manual/index.html

OSSECは、ホストベースの侵入検知システム、ログ解析のオープンソース実装、ファイルの整合性チェック、ポリシー監視、ルートキット検知、リアルタイムアラート、アクティブ応答です。

これは、Linux、MacOSのの時、Solaris版、HP-UX、AIXおよびWindowsを含むほとんどのオペレーティングシステム上で実行することができます

最新の安定版2.8ダウンロードページhttp://www.ossec.net/?page_id=19

C / SのOSSECの展開、次のサーバー:192.168.22.240クライアント:192.168.22.241

SELinuxをオフにし、共通のパッケージをインストールします

環境のCentOS 6.4(ファイナル)x86_64版をリリース
閉じるSELinuxのSELINUX =無効
yumをインストールしGCC GCC-C ++のvim wgetのlrzszでntpdate sysstatのDSTAT wgetの解凍-y

 

インストールサーバー

IP 192.168.22.240
YUMのMySQLのMySQLサーバのmysql-develのhttpdのPHPのPHP-mysqlの-yをインストール
OSSEC HIDS–2.8.tar.gz -xzfタール
CDのOSSEC HIDS–2.8
CDのSRC /
#setdbを作ります
エラー:PostgreSQLのクライアントライブラリnotinstalled未。
情報:. MySQLのサポート#ossec mysqlデータベースをサポートするようにコンパイル
#カドミウム..
#./install.shを

ここでは、インストールプロセスは、されている場合は、入力エラーは、Ctrl + Backspaceキー
アン#言語を選択してください
#続行入力してください
サーバのサーバ#のインストール
は/ usr / local / OSSEC#のインストールディレクトリ
3.1-にあなたは電子メール通知(Y / N)[Y]たい:?Yください
    – 何があなたのメールアドレスですか?Your_mail@163.com
    – 何があなたのSMTPサーバーのIP /ホストですか?127.0.0.1
#ランニングSYSCHECK(整合性チェックデーモン)を入力します
#ランニングrootcheck(ルートキットの検出)を入力します
有効#Active応答を入力してください
レベル> = 6のための(ローカル)が有効になって#ファイアウォールドロップを入力してください
あなたはホワイトリスト(Y / N)にさらにIPアドレスを追加しますか[N]:?? Y#セットのIPホワイトリスト
   -IPs(スペース区切り):
?3.5インチリモートのsyslog(ポート514 UDP)(Y / N)[Y]を有効にしますか:入力してください
インストールを開始するために#を入力してください

 

インストールが完了する設定ファイルとオプション:
は/ usr / OSSEC / local / binに/ OSSEC制御開始
は/ usr / OSSEC / local / binに/ OSSEC·制御停止
/usr/local/ossec/etc/ossec.conf
は/ usr / local / OSSEC / binに/ manage_agents

 
ます。#/ usr / OSSEC / local / binに/ OSSEC制御–help
使用法:は/ usr / local / OSSECは、/ binに/ OSSEC制御{開始|停止|再起動|ステータス|有効|無効}

 
#は/ usr / local / OSSEC / binに/ OSSEC-制御が可能に – 助けを
無効なオプションを有効にします。
オプションを有効にする:データベース、クライアントのsyslog、エージェントレス、デバッグ
使用法:は/ usr / local / OSSEC / binに/ OSSEC-controlenable [デ​​ータベース|クライアントのsyslog |エージェントレス|デバッグ]

 
ます。#/ usr / OSSEC / local / binに/ OSSEC制御データベースを使用可能
#サービスmysqldを開始
ます。#/ usr / bin / mysql_secure_installation
#MySQLの-uroot -p
MySQLの>データベースOSSECを作成します。
。MySQLの>グラントINSERT、SELECT、UPDATE、CREATE、DELETE、OSSECのEXECUTE * OSSEC @ localhost ‘のOSSEC」によって識別します。
mysqlの>フラッシュ権限;
mysqlの> \ Q

 

[ルート@ localhostのOSSEC HIDS–2.8]#mysqlの-uossec -p OSSEC
   
       <ホスト名>ローカルホスト
       <ユーザー名> OSSEC
       <パスワード> OSSEC
       <データベース> OSSEC
       <タイプ>のmysql
   

 

128行の内容を追加し、ログのこのセグメントを許可します
<リモート>
127 <接続>のsyslog
128 <許可-IPS> 192.168.22.0/24
129

 
  
は/ usr / local / OSSEC / binに/ OSSEC制御の再起動

この場合、メールボックスはメールを受信しました

 

 次のエージェントのクライアントを追加します。
#は/ usr / local / OSSEC / binに/ manage_agents
  (A)は、薬剤(A)のD-D
  エージェントの(E)XTRACTキー(E)。
  (L)イスト既に追加薬(L)。
  (R)emove剤(R)。
  (Q)UIT。
  
#以下にします:
#add
以下を入力してください:
   *新しいエージェントの名前:エージェント1
   新しいエージェントの* IPアドレス:192.168.22.241
   *新しいエージェントのID [001]:001
エージェント情報:
   ID:001
  名前:エージェント1
   たIPAddress:192.168.22.241
 
それを追加することを確認します(Y / N):?Y
エージェントが追加されました。
  
****************************************
* OSSEC HIDS V2.8エージェントマネージャ。*
*以下のオプションが用意されています*
****************************************
  (A)は、薬剤(A)のD-D
  エージェントの(E)XTRACTキー(E)。
  (L)イスト既に追加薬(L)。
  (R)emove剤(R)。
  (Q)UIT。
A、E、L、RまたはQ:Eアクションを選択してください
  
使用可能なエージェント:
  ID:001、名前:エージェント1、IP:192.168.22.241
thekey(または「\ qは「終了する)を抽出するために、エージェントのIDを提供します。001
  
エージェントの「001」のための重要な情報は、次のとおりです。
MDAxIGFnZW50MSAxOTIuMTY4LjIyLjI0MSBmYTcxYWE1ZWQxYTg0YTM3MDcwNTFkMGRkMDY4NTcyNDQ5NDY2MWRkYTI3ZTMxZsNhZDd3YmFjZjddZTFkMmNj
  必要な秘密鍵の#イン​​ストールエージェント
**を押して、メインメニューに戻ります。
  
A、E、L、RまたはQ:Qあなたのアクションを選択してください

 

#Netstatのを-unlp | grepのOSSEC #ossec、UDP 514,1514ポートとの通信
0 0 0.0.0.0:514 0.0.0.0:* 4511 UDP / OSSECにリモート
0 0 0.0.0.0:1514 0.0.0.0:* 4513 UDP / OSSECにリモート

 
vimの、/ etc / sysconfig / iptables内#iptablesのポートを開きます
-A INPUT -m状態–state NEW -m UDP -p udpの–dport 514 -j ACCEPT
-A INPUT -m状態-m UDP -p udpの–dport 1514 -j ACCEPT ​​NEW –state
サービスのiptablesを再起動します

 

クライアントをインストールします

IP 192.168.22.241
#タール-xzf OSSEC HIDS–2.8.tar.gz
#カドミウムOSSEC HIDS–2.8
#./install.shを
デフォルトはY#エン
インストールを開始するために#を入力してください
プロキシとしてエージェント#
は/ usr / local / OSSEC#のインストールディレクトリ
192.168.22.240#は、サーバーのIPを追加します
#Running SYSCHECK(整合性チェックデーモン)を入力します
#Runningのrootcheckを入力します(ルートキット検出)
#active応答を入力してください
3.5インチ以下のログを分析するための構成を設定します:
     – の/ var / log / messagesに
     – は/ var / log /安全な
     – は/ var / log / maillogに
     – /var/log/nginx/error.log(Apacheのログ)
インストールを開始するために#を入力してください

インストール後の設定は、まず実行しないでください
  
は/ usr / OSSEC / local / binに/ OSSEC制御開始
は/ usr / OSSEC / local / binに/ OSSEC·制御停止
/usr/local/ossec/etc/ossec.conf
は/ usr / local / OSSEC / binに/ manage_agents

 セット剤
#は/ usr / local / OSSEC / binに/ manage_agents
****************************************
* OSSEC HIDS V2.8エージェントマネージャ。*
*以下のオプションが用意されています*
****************************************
  サーバー(I)から(I)mportキー。
  (Q)UIT。
あなたのアクションを選択してください:IまたはQ:
 
*サーバーによって生成されたキーを提供します。
*最良の方法は、それをカット&ペーストすることです。
*** OBS:スペースや改行を含めないでください。
 
ここでそれを貼り付けます(または終了するには、 ‘\のQ’):
MDAxIGFnZW50MSAxOTIuMTY4LjIyLjI0zSBmYTcxYWE1ZWQxYTg0YTM3MDcwNTFkMGRkMDY4NTcyNDQ5NDY2MWRkYTI3ZTMxZTNdZDc3YmFjZjdmZTFk5mNj
 
エージェント情報:
  ID:001
  名前:エージェント1
   たIPAddress:192.168.22.241
 
それを追加することを確認します(Y / N):?Y
追加されました。
**を押して、メインメニューに戻ります。
 
あなたのアクションを選択してください:IまたはQ:Qを
 
ます。#/ usr / OSSEC / local / binに/ OSSEC制御の再起動

 

OSSECログ
  
/usr/local/ossec/logs/ossec.log

 

インストールのWebインターフェイス

OSSEC-WUIインタフェース
CDの/ var / WWW
ossec-wui-master.zip解凍
MV OSSEC-WUIマスターHTML / OSSEC
CD HTML / OSSEC /
  
#猫ossec_conf.php
  
/ * OSSECディレクトリ* /
#$ Ossec_dir = “の/ var / OSSEC”;
$ Ossec_dirは= “は/ usr / local / OSSEC”;
  
#./setup.shここ
OSSEC UIを設定します…
  
ユーザー名:OSSEC
新しいパスワード:
新しいパスワードを再入力します。
ユーザーOSSECのパスワードを追加します
あなたのWeb​​サーバーのユーザー名を入力します(egapache、WWW、誰も、WWWデータ、…)
アパッチ
あなたのOSSECは、ディレクトリ·パスを入力してインストールします(例:は/ var / OSSEC)
は/ usr / local / OSSEC
thissetupが行われた後に、Webサーバーを再起動する必要があります。
 
セットアップが完了しsuccessfuly。

 
#Vimの/etc/httpd/conf.d/ossec.conf
 
<ディレクトリ/ var / www / htmlと設定/ OSSEC>
   注文拒否、許可
   すべての拒否
   192.168.22.0/24から許可
    
    オプションFollowSymLinksを#エクストラネットアクセスの構成、または上記のコメントを削除
    AllowOverrideのなし#エクストラネットへのアクセスの設定
    注文拒否、#外部ネットワークアクセスの設定を許可
    すべての#のエクストラネットアクセスの設定から可能に
    
オプション-MultiViews
   でAuthName “OSSEC AUTH」
   AuthTypeディレクティブの基本
   AuthUserFileは/var/www/html/ossec/.htpasswd
   有効なユーザーを必要とします

 

iptablesの80を開くことを忘れないでください
80 -j ACCEPTをDPORT – -p TCPの-A INPUT -m状態–state NEW -m TCP
chownコマンドのapache:apacheの*
サービスのhttpdの再起動

analogiインタフェース
CD / var / www / htmlと設定
wgetのhttps://github.com/ECSC/analogi/archive/master.zip
解凍analogi-master.zip
MV analogiマスターOSSEC / analogi
chownコマンドapache.apache -R OSSEC
CDのOSSEC / analogi
CP db_ossec.php.new db_ossec.php
 
vimのdb_ossec.php
( ‘DB_USER_O’、 ‘OSSEC’)を定義します。
( ‘DB_PASSWORD_O’、 ‘OSSEC’)を定義します。
( ‘localhost’の ‘DB_HOST_O’)を定義します。
( ‘DB_NAME_O’、 ‘OSSEC’)を定義します。
  
Vimの/etc/httpd/conf.d/analogi.conf
 
<ディレクトリ/ var / www / htmlと設定/ analogi>
   注文拒否、許可
   すべての拒否
   192.168.22.0/24から許可
   
   オプションFollowSymLinksを#エクストラネットアクセスの構成、または上記のコメントを削除
   AllowOverrideのなし#エクストラネットへのアクセスの設定
   注文拒否、#外部ネットワークアクセスの設定を許可
   すべての#のエクストラネットアクセスの設定から可能に
   
 
 
#サービスのhttpdの再起動

 

ビューステータス情報
  
#は/ usr / local / OSSEC / binに/ agent_control -lc
。availableagentsのOSSEC HIDSのagent_control一覧:
  ID:000、名前:localhost.localdomainを(サーバー)、IP:127.0.0.1、アクティブ/ローカル
  ID:001、名前:エージェント1、IP:192.168.22.241、アクティブ
  
#は/ usr / local / OSSEC / binに/ list_agents -a
agent1-192.168.22.241が可能です。
  
ます。#/ usr / OSSEC / local / binに/ OSSEC制御ステータス
OSSEC-monitordが実行されています…
OSSEC-logcollectorが実行されています…
OSSECにリモート実行されています…
OSSEC-syscheckdが実行されています…
OSSEC-analysisdが実行されています…
OSSEC-maildが実行されています…
OSSEC-のexecdが実行されています…
OSSEC-DBDが実行されています…

 

OSSECグラフィカルインターフェイス

wKiom1Pq1T6x-S7fAAM12H09WeQ484.jpg

analogiグラフィカルインターフェイス

wKioL1Pq1ojDJVmjAANOSzsaq7U906.jpg

wKioL1Pu1MPxZyq8AAX3mTe17tc770.jpg

OSSEC送信されたメッセージを受信

Leave a Reply

Your email address will not be published. Required fields are marked *