Ossec の http://www.ossec.NET/ossec ヘルプ http://ossec-docs.readthedocs.org/en/latest/manual/index.html OSSEC オープン ソース ホスト ベースの侵入検出システムは、ログ分析、ファイルの整合性チェック、ポリシーの監視、ルートキットの検出、リアルタイムのアラートおよびアクティブレス ポンスを実行.
OSSEC公式サイトhttp://www.ossec.net/
OSSECヘルプドキュメントhttp://ossec-docs.readthedocs.org/en/latest/manual/index.html
OSSECは、ホストベースの侵入検知システム、ログ解析のオープンソース実装、ファイルの整合性チェック、ポリシー監視、ルートキット検知、リアルタイムアラート、アクティブ応答です。
これは、Linux、MacOSのの時、Solaris版、HP-UX、AIXおよびWindowsを含むほとんどのオペレーティングシステム上で実行することができます
最新の安定版2.8ダウンロードページhttp://www.ossec.net/?page_id=19
C / SのOSSECの展開、次のサーバー:192.168.22.240クライアント:192.168.22.241
SELinuxをオフにし、共通のパッケージをインストールします
環境のCentOS 6.4(ファイナル)x86_64版をリリース
閉じるSELinuxのSELINUX =無効
yumをインストールしGCC GCC-C ++のvim wgetのlrzszでntpdate sysstatのDSTAT wgetの解凍-y
インストールサーバー
IP 192.168.22.240
YUMのMySQLのMySQLサーバのmysql-develのhttpdのPHPのPHP-mysqlの-yをインストール
OSSEC HIDS–2.8.tar.gz -xzfタール
CDのOSSEC HIDS–2.8
CDのSRC /
#setdbを作ります
エラー:PostgreSQLのクライアントライブラリnotinstalled未。
情報:. MySQLのサポート#ossec mysqlデータベースをサポートするようにコンパイル
#カドミウム..
#./install.shを
ここでは、インストールプロセスは、されている場合は、入力エラーは、Ctrl + Backspaceキー
アン#言語を選択してください
#続行入力してください
サーバのサーバ#のインストール
は/ usr / local / OSSEC#のインストールディレクトリ
3.1-にあなたは電子メール通知(Y / N)[Y]たい:?Yください
– 何があなたのメールアドレスですか?Your_mail@163.com
– 何があなたのSMTPサーバーのIP /ホストですか?127.0.0.1
#ランニングSYSCHECK(整合性チェックデーモン)を入力します
#ランニングrootcheck(ルートキットの検出)を入力します
有効#Active応答を入力してください
レベル> = 6のための(ローカル)が有効になって#ファイアウォールドロップを入力してください
あなたはホワイトリスト(Y / N)にさらにIPアドレスを追加しますか[N]:?? Y#セットのIPホワイトリスト
-IPs(スペース区切り):
?3.5インチリモートのsyslog(ポート514 UDP)(Y / N)[Y]を有効にしますか:入力してください
インストールを開始するために#を入力してください
インストールが完了する設定ファイルとオプション:
は/ usr / OSSEC / local / binに/ OSSEC制御開始
は/ usr / OSSEC / local / binに/ OSSEC·制御停止
/usr/local/ossec/etc/ossec.conf
は/ usr / local / OSSEC / binに/ manage_agents
ます。#/ usr / OSSEC / local / binに/ OSSEC制御–help
使用法:は/ usr / local / OSSECは、/ binに/ OSSEC制御{開始|停止|再起動|ステータス|有効|無効}
#は/ usr / local / OSSEC / binに/ OSSEC-制御が可能に – 助けを
無効なオプションを有効にします。
オプションを有効にする:データベース、クライアントのsyslog、エージェントレス、デバッグ
使用法:は/ usr / local / OSSEC / binに/ OSSEC-controlenable [データベース|クライアントのsyslog |エージェントレス|デバッグ]
ます。#/ usr / OSSEC / local / binに/ OSSEC制御データベースを使用可能
#サービスmysqldを開始
ます。#/ usr / bin / mysql_secure_installation
#MySQLの-uroot -p
MySQLの>データベースOSSECを作成します。
。MySQLの>グラントINSERT、SELECT、UPDATE、CREATE、DELETE、OSSECのEXECUTE * OSSEC @ localhost ‘のOSSEC」によって識別します。
mysqlの>フラッシュ権限;
mysqlの> \ Q
[ルート@ localhostのOSSEC HIDS–2.8]#mysqlの-uossec -p OSSEC
<ホスト名>ローカルホスト
<ユーザー名> OSSEC
<パスワード> OSSEC
<データベース> OSSEC
<タイプ>のmysql
128行の内容を追加し、ログのこのセグメントを許可します
<リモート>
127 <接続>のsyslog
128 <許可-IPS> 192.168.22.0/24
129
は/ usr / local / OSSEC / binに/ OSSEC制御の再起動
この場合、メールボックスはメールを受信しました
次のエージェントのクライアントを追加します。
#は/ usr / local / OSSEC / binに/ manage_agents
(A)は、薬剤(A)のD-D
エージェントの(E)XTRACTキー(E)。
(L)イスト既に追加薬(L)。
(R)emove剤(R)。
(Q)UIT。
#以下にします:
#add
以下を入力してください:
*新しいエージェントの名前:エージェント1
新しいエージェントの* IPアドレス:192.168.22.241
*新しいエージェントのID [001]:001
エージェント情報:
ID:001
名前:エージェント1
たIPAddress:192.168.22.241
それを追加することを確認します(Y / N):?Y
エージェントが追加されました。
****************************************
* OSSEC HIDS V2.8エージェントマネージャ。*
*以下のオプションが用意されています*
****************************************
(A)は、薬剤(A)のD-D
エージェントの(E)XTRACTキー(E)。
(L)イスト既に追加薬(L)。
(R)emove剤(R)。
(Q)UIT。
A、E、L、RまたはQ:Eアクションを選択してください
使用可能なエージェント:
ID:001、名前:エージェント1、IP:192.168.22.241
thekey(または「\ qは「終了する)を抽出するために、エージェントのIDを提供します。001
エージェントの「001」のための重要な情報は、次のとおりです。
MDAxIGFnZW50MSAxOTIuMTY4LjIyLjI0MSBmYTcxYWE1ZWQxYTg0YTM3MDcwNTFkMGRkMDY4NTcyNDQ5NDY2MWRkYTI3ZTMxZsNhZDd3YmFjZjddZTFkMmNj
必要な秘密鍵の#インストールエージェント
**を押して、メインメニューに戻ります。
A、E、L、RまたはQ:Qあなたのアクションを選択してください
#Netstatのを-unlp | grepのOSSEC #ossec、UDP 514,1514ポートとの通信
0 0 0.0.0.0:514 0.0.0.0:* 4511 UDP / OSSECにリモート
0 0 0.0.0.0:1514 0.0.0.0:* 4513 UDP / OSSECにリモート
vimの、/ etc / sysconfig / iptables内#iptablesのポートを開きます
-A INPUT -m状態–state NEW -m UDP -p udpの–dport 514 -j ACCEPT
-A INPUT -m状態-m UDP -p udpの–dport 1514 -j ACCEPT NEW –state
サービスのiptablesを再起動します
クライアントをインストールします
IP 192.168.22.241
#タール-xzf OSSEC HIDS–2.8.tar.gz
#カドミウムOSSEC HIDS–2.8
#./install.shを
デフォルトはY#エン
インストールを開始するために#を入力してください
プロキシとしてエージェント#
は/ usr / local / OSSEC#のインストールディレクトリ
192.168.22.240#は、サーバーのIPを追加します
#Running SYSCHECK(整合性チェックデーモン)を入力します
#Runningのrootcheckを入力します(ルートキット検出)
#active応答を入力してください
3.5インチ以下のログを分析するための構成を設定します:
– の/ var / log / messagesに
– は/ var / log /安全な
– は/ var / log / maillogに
– /var/log/nginx/error.log(Apacheのログ)
インストールを開始するために#を入力してください
インストール後の設定は、まず実行しないでください
は/ usr / OSSEC / local / binに/ OSSEC制御開始
は/ usr / OSSEC / local / binに/ OSSEC·制御停止
/usr/local/ossec/etc/ossec.conf
は/ usr / local / OSSEC / binに/ manage_agents
セット剤
#は/ usr / local / OSSEC / binに/ manage_agents
****************************************
* OSSEC HIDS V2.8エージェントマネージャ。*
*以下のオプションが用意されています*
****************************************
サーバー(I)から(I)mportキー。
(Q)UIT。
あなたのアクションを選択してください:IまたはQ:
*サーバーによって生成されたキーを提供します。
*最良の方法は、それをカット&ペーストすることです。
*** OBS:スペースや改行を含めないでください。
ここでそれを貼り付けます(または終了するには、 ‘\のQ’):
MDAxIGFnZW50MSAxOTIuMTY4LjIyLjI0zSBmYTcxYWE1ZWQxYTg0YTM3MDcwNTFkMGRkMDY4NTcyNDQ5NDY2MWRkYTI3ZTMxZTNdZDc3YmFjZjdmZTFk5mNj
エージェント情報:
ID:001
名前:エージェント1
たIPAddress:192.168.22.241
それを追加することを確認します(Y / N):?Y
追加されました。
**を押して、メインメニューに戻ります。
あなたのアクションを選択してください:IまたはQ:Qを
ます。#/ usr / OSSEC / local / binに/ OSSEC制御の再起動
OSSECログ
/usr/local/ossec/logs/ossec.log
インストールのWebインターフェイス
OSSEC-WUIインタフェース
CDの/ var / WWW
ossec-wui-master.zip解凍
MV OSSEC-WUIマスターHTML / OSSEC
CD HTML / OSSEC /
#猫ossec_conf.php
/ * OSSECディレクトリ* /
#$ Ossec_dir = “の/ var / OSSEC”;
$ Ossec_dirは= “は/ usr / local / OSSEC”;
#./setup.shここ
OSSEC UIを設定します…
ユーザー名:OSSEC
新しいパスワード:
新しいパスワードを再入力します。
ユーザーOSSECのパスワードを追加します
あなたのWebサーバーのユーザー名を入力します(egapache、WWW、誰も、WWWデータ、…)
アパッチ
あなたのOSSECは、ディレクトリ·パスを入力してインストールします(例:は/ var / OSSEC)
は/ usr / local / OSSEC
thissetupが行われた後に、Webサーバーを再起動する必要があります。
セットアップが完了しsuccessfuly。
#Vimの/etc/httpd/conf.d/ossec.conf
<ディレクトリ/ var / www / htmlと設定/ OSSEC>
注文拒否、許可
すべての拒否
192.168.22.0/24から許可
オプションFollowSymLinksを#エクストラネットアクセスの構成、または上記のコメントを削除
AllowOverrideのなし#エクストラネットへのアクセスの設定
注文拒否、#外部ネットワークアクセスの設定を許可
すべての#のエクストラネットアクセスの設定から可能に
オプション-MultiViews
でAuthName “OSSEC AUTH」
AuthTypeディレクティブの基本
AuthUserFileは/var/www/html/ossec/.htpasswd
有効なユーザーを必要とします
iptablesの80を開くことを忘れないでください
80 -j ACCEPTをDPORT – -p TCPの-A INPUT -m状態–state NEW -m TCP
chownコマンドのapache:apacheの*
サービスのhttpdの再起動
analogiインタフェース
CD / var / www / htmlと設定
wgetのhttps://github.com/ECSC/analogi/archive/master.zip
解凍analogi-master.zip
MV analogiマスターOSSEC / analogi
chownコマンドapache.apache -R OSSEC
CDのOSSEC / analogi
CP db_ossec.php.new db_ossec.php
vimのdb_ossec.php
( ‘DB_USER_O’、 ‘OSSEC’)を定義します。
( ‘DB_PASSWORD_O’、 ‘OSSEC’)を定義します。
( ‘localhost’の ‘DB_HOST_O’)を定義します。
( ‘DB_NAME_O’、 ‘OSSEC’)を定義します。
Vimの/etc/httpd/conf.d/analogi.conf
<ディレクトリ/ var / www / htmlと設定/ analogi>
注文拒否、許可
すべての拒否
192.168.22.0/24から許可
オプションFollowSymLinksを#エクストラネットアクセスの構成、または上記のコメントを削除
AllowOverrideのなし#エクストラネットへのアクセスの設定
注文拒否、#外部ネットワークアクセスの設定を許可
すべての#のエクストラネットアクセスの設定から可能に
#サービスのhttpdの再起動
ビューステータス情報
#は/ usr / local / OSSEC / binに/ agent_control -lc
。availableagentsのOSSEC HIDSのagent_control一覧:
ID:000、名前:localhost.localdomainを(サーバー)、IP:127.0.0.1、アクティブ/ローカル
ID:001、名前:エージェント1、IP:192.168.22.241、アクティブ
#は/ usr / local / OSSEC / binに/ list_agents -a
agent1-192.168.22.241が可能です。
ます。#/ usr / OSSEC / local / binに/ OSSEC制御ステータス
OSSEC-monitordが実行されています…
OSSEC-logcollectorが実行されています…
OSSECにリモート実行されています…
OSSEC-syscheckdが実行されています…
OSSEC-analysisdが実行されています…
OSSEC-maildが実行されています…
OSSEC-のexecdが実行されています…
OSSEC-DBDが実行されています…
OSSECグラフィカルインターフェイス
wKiom1Pq1T6x-S7fAAM12H09WeQ484.jpg
analogiグラフィカルインターフェイス
wKioL1Pq1ojDJVmjAANOSzsaq7U906.jpg
wKioL1Pu1MPxZyq8AAX3mTe17tc770.jpg
OSSEC送信されたメッセージを受信
Leave a Reply