测试机 172.16.53.191 服务端(server)
测试机 172.16.53.253 客户端(agent)
【server端配置】
yum install mysql mysql-server mysql-devel httpd php php-mysql gcc gcc-c++ vim wget lrzsz ntpdate sysstat dstat unzip -y
wget https://bintray.com/artifact/download/ossec/ossec-hids/ossec-hids-2.8.3.tar.gz
tar zxvf ossec-hids-2.8.3.tar.gz
cd ossec-hids-2.8.3
cd src
make setdb
#Info: Compiled with MySQL support.出现mysql 说明ossec支持mysql数据库
cd ..
./install.sh
下面是安装过程,如果输入错误,按住Ctrl+Backspace
en #选择语言
Enter #继续
Server #安装为server
/usr/local/ossec #安装目录
3.1- Do you want e-mail notification? (y/n)[y]: y
-What's your e-mail address? Your_mail@163.com
-What's your SMTP server ip/host? 127.0.0.1
Enter # Running syscheck (integrity check daemon)
Enter # Running rootcheck (rootkit detection)
Enter #Active response enabled
Enter # firewall-drop enabled (local) for levels >= 6
Do you want to add more IPs to the whitelist? (y/n)? [n]: y #设置ip白名单
-IPs (space separated):
3.5- Do you want to enable remote syslog(port 514 udp)? (y/n) [y]:Enter
Enter #开始安装
安装完成的配置文件及选项:
/usr/local/ossec/bin/ossec-control start
/usr/local/ossec/bin/ossec-control stop
/usr/local/ossec/etc/ossec.conf
/usr/local/ossec/bin/manage_agents
# /usr/local/ossec/bin/ossec-control --help
Usage: /usr/local/ossec/bin/ossec-control{start|stop|restart|status|enable|disable}
# /usr/local/ossec/bin/ossec-control enable --help
Enable options: database, client-syslog,agentless, debug
Usage: /usr/local/ossec/bin/ossec-controlenable [database|client-syslog|agentless|debug]
【ossec日志入数据库】
1. 启用数据库功能 /var/ossec/bin/ossec-control enable database
2.安装数据库,创建数据库
yum -y install mysql-server mysql mysql-devel #安装mysqlserver
mysql -u root
mysql>create database ossec;
mysql>set password for root@localhost=password ('ufenqi123');
mysql>CREATE USER 'ossecuser'@'%'IDENTIFIED BY 'ufenqi123';
mysql> grant INSERT,SELECT,UPDATE,CREATE,DELETE,EXECUTE on ossec.* to ossecuser@'%' IDENTIFIED BY 'ufenqi123';
mysql>flush privileges;
mysql>exit
进入ossec源码目录,【初始化数据库】
/root/ossec-hids-2.8.3/src/os_dbd/mysql.schema
mysql -u ossecuser -p -D ossec < /root/ossec-hids-2.8.3/src/os_dbd/mysql.schema
3.修改ossec配置文件,添加数据库支持
vim /usr/local/ossec/etc/ossec.conf 添加如下字段
<ossec_config> <database_output> <hostname>192.168.2.30</hostname> <username>ossecuser</username> <password>ossecpass</password> <database>ossec</database> <type>mysql</type> </database_output> </ossec_config>
3.2、接收远端syslog信息
<remote>
<connection>syslog</connection>
<allowed-ips>172.16.0.0/16</allowed-ips>
</remote>
配置上syslog后,本机监听了udp端口514和1514
4 配置完成后,启用数据库,并重启ossec
/usr/local/ossec/bin/ossec-control enable database
/usr/local/ossec/bin/ossec-control restart
【添加agent】
1.在server端执行
/usr/local/ossec/bin/manage_agents 按照提示添加客户端
添加完成后,输入E,获取agent的key,复制下来
2.在agent端执行
/usr/local/ossec/bin/manage_agents
将1中复制下来的key粘贴进去就可以添加成功了
【server中查看在线的agent列表】
/usr/local/ossec/bin/agent_control -l
[root@172-16-53-191 bin]# ./agent_control -l
OSSEC HIDS agent_control. List of available agents:
ID: 000, Name: 172-16-53-191 (server), IP: 127.0.0.1, Active/Local
ID: 002, Name: test-agent-53.253, IP: 172.16.53.253, Active
List of agentless devices:
/usr/local/ossec/bin/list_agent -a
【安装web界面-管理ossec】
1.配置nginx+php运行环境
2下载安装
tar -zxvf ossec-wui-0.3.tar.gz mv ossec-wui-0.3 /usr/local/nginx/html ossec-wui
cd /usr/local/nginx/html/ossec-wui
./setup.sh
3.修改权限,将运行web服务的用户加入ossec用户组
vim /etc/group 修改ossec这一行为:
ossec:x:1002:apache 其中Apache是运行php的启动用户
将ossec的安装目录(/usr/local/ossec/)下的tmp目录权限设置为770
chmod 770 /usr/local/ossec/tmp
chown -R apache.apache /usr/local/ossec/tmp
service php-fpm restart
然后访问http://ossec-server-ip/ossec-wui/index.php 即可访问到ossec管理界面
【ossec的实际应用】
一、【ossec syscheck文件监控配置】
1.在agent端,修改/usr/local/ossec/etc/ossec.conf文件
在<syscheck>下添加如下:
<alert_new_files>yes</alert_new_files>
<directories check_all="yes" realtime="yes" report_changes="yes">/tmp/mzk</directories> 添加监控的目录
设置扫描频率
2.在server端重写rules规则,编辑/usr/local/ossec/rules/ossec_rules.xml文件,找到rule_id 554,在这个规则的下面添加如下行
<rule id="554" level="10" overwrite="yes">
<category>ossec</category>
<decoded_as>syscheck_new_entry</decoded_as>
<description>File added to the system. by mzk</description>
<group>syscheck,</group>
</rule>
二、【异常ip登录服务器】
在server端上编辑rules/local_rules.xml文件,添加如下行
<rule id="7778" level="7">
<if_sid>5700</if_sid>
<group>authentication_failure</group>
<srcip>!10.10.2.1</srcip>
<description>not come from 10.10.2.1</description>
</rule>
重启服务端即可
三、【暴力破解】
在server端上编辑rules/sshd_rules.xml文件,修改规则如下
<rule id="5720" level="7" frequency="3">
<if_matched_sid>5716</if_matched_sid>
<same_source_ip />
<description>3 Failed passwords within 1 minutes Multiple SSHD authentication failures.</description>
<group>authentication_failures,</group>
</rule>
四、【进程监控】
<rule id="533" level="7">
<if_sid>530</if_sid>
<match>ossec: output: 'netstat -tan</match>
<check_diff />
<description>Listened ports status (netstat) changed (new port opened or closed).</description>
</rule>
- Ossec 安装并配置邮件通知
Ossec 安装并配置邮件通知 目录 Ossec 安装并配置邮件通知 1. 介绍 2. 软硬件环境 3. 安装步骤 3.1 Server 3.2 Agent 3.3 配置邮件通知 4. 参考资料 1. ...
- OSSEC 安装执行./install.sh详细信息
下载好ossec安装文件后解压得到如下目录 [root@localhost ~]# cd ossec-hids-/ [root@localhost ossec-hids-]# ll total drw ...
- ossec安装
安装 安装要求 对于Unix系统来说,OSSEC只需要GNU的make.gcc和libc.推荐使用OpenSSL,但仅属于一个可选项.而且,通常您只需在一个系统上做编译操作,然后将二进制程序复制到其他 ...
- Hive安装配置指北(含Hive Metastore详解)
个人主页: http://www.linbingdong.com 本文介绍Hive安装配置的整个过程,包括MySQL.Hive及Metastore的安装配置,并分析了Metastore三种配置方式的区 ...
- Hive on Spark安装配置详解(都是坑啊)
个人主页:http://www.linbingdong.com 简书地址:http://www.jianshu.com/p/a7f75b868568 简介 本文主要记录如何安装配置Hive on Sp ...
- ADFS3.0与SharePoint2013安装配置(原创)
现在越来越多的企业使用ADFS作为单点登录,我希望今天的内容能帮助大家了解如何配置ADFS和SharePoint 2013.安装配置SharePoint2013这块就不做具体描述了,今天主要讲一下怎么 ...
- Hadoop的学习--安装配置与使用
安装配置 系统:Ubuntu14.04 java:1.7.0_75 相关资料 官网 下载地址 官网文档 安装 我们需要关闭掉防火墙,命令如下: sudo ufw disable 下载2.6.5的版本, ...
- redis的安装配置
主要讲下redis的安装配置,以及以服务的方式启动redis 1.下载最新版本的redis-3.0.7 到http://redis.io/download中下载最新版的redis-3.0.7 下载后 ...
- Windows环境下的NodeJS+NPM+Bower安装配置
npm作为一个NodeJS的模块管理,之前我由于没有系统地看资料所以导致安装配置模块的时候走了一大段弯路,所以现在很有必要列出来记录下.我们要先配置npm的全局模块的存放路径以及cache的路径,例如 ...
随机推荐
- 导入 kotlin(7)
导入包 除了默认导入之外,每个文件可以包含它自己的导入指令. 导入语法在语法中讲述.可以导入一个单独的名字,如.import foo.Bar // 现在 Bar 可以不用限定符访问也可以导入一个作用域 ...
- JVM系列2:HotSpot虚拟机对象
1.对象创建过程: ①.类加载检查:当java虚拟机遇到一条new指令时,首先会去检查该指令的参数能否在常量池中定位到这个类的符号引用,并且检查这个符号引用代表的类是否已被加载.解析.初始化过,如果没 ...
- Android ConstraintLayout 约束布局属性
常用方法总结 layout_constraintTop_toTopOf // 将所需视图的顶部与另一个视图的顶部对齐. layout_constraintTop_toBottomOf // 将所需视图 ...
- DVM 和 JVM 的区别?
a) dvm 执行的是.dex 文件,而 jvm 执行的是.class.Android 工程编译后的所有.class 字节码会被 dex 工具抽取到一个.dex 文件中.b) dvm 是基于寄存器的虚 ...
- 【flask】使用类组织配置-使用工厂函数创建程序实例
[需求] 使用配置类管理flask管理测试环境, 通过1个参数即可控制Flask是运行develpment环境还是production环境(数据库配置,邮件配置也要根据环境的变化而变化) [思路] 1 ...
- Nova 启动虚拟机流程解析
目录 文章目录 目录 前言 从请求说起 nova-api service 阶段 前言 Nova 启动虚拟机的东西太多,持续更新- 从请求说起 无论是通过 Dashboard 还是 CLI 启动一个虚拟 ...
- 使用boost库获取文件夹下所有文件名字
最近整理项目发现一个曾经找了好久的有用的代码片段,就是获取文件夹下所有文件的名字,和当前文件的绝对路径. 记录一下. 使用的是boost库, #include <boost/filesystem ...
- UniEAP V4 开发实践说明文档
一.开发环境搭建 1. 前期准备 Java jdk1.6 ,Oralce数据库,plsql客户端,tomcat6.0,开发样例数据库脚本,unieap脚本,unieap工程,unieap worksh ...
- <数据结构系列3>队列的实现与变形(循环队列)
数据结构第三课了,今天我们再介绍一种很常见的线性表——队列 就像它的名字,队列这种数据结构就如同生活中的排队一样,队首出队,队尾进队.以下一段是百度百科中对队列的解释: 队列是一种特殊的线性表,特殊之 ...
- tomcat报错解决方法
tomcat报错如 关闭被占用的进程 解决方法:cmd进入控制台,输入命令netstat -ano|findstr 8005 (什么端口号被占用就输入什么号),回车 发现是进程2044占用了这 ...