OSSEC初探

OSSEC初探

概念：

　　OSSEC是一款开源的基于主机的入侵检测系统(HIDS)，它可以执行日志分析、完整性检验、windows注册表监控、隐匿性检测和实时告警。它可以运行在各种不同的操作系统上，包括Linux、OpenBSD、Mac OS X、Solaris和windows。

架构：

OSSEC由多个模块组成，包括服务端、agent端、数据库、日志系统等。

简单的理解，OSSEC工作于C/S模式，由agent监控收集信息上报给Server端，Server端对信息进行分析和预处理，并通过邮件将系统的变化发送给管理员。

server端保存所有的规则信息，解码器、主要配置选项，用于处理agent上报的信息，这样使得管理大量的客户端变得简单易配置，

agent是个很小的程序，用于监控系统，收集上报信息，只会占用很小的CPU和内存资源。

安装：

OS Version：CentOS 6.5

OSSEC Version：2.8.3

安装依赖：

yum -y install mysql-devel

mysql配置：

mysql -uroot -p

mysql> create database ossec;
Query OK, 1 row affected (0.02 sec)

mysql> grant all on ossec.* to ossec@localhost identified by 'ossec';
Query OK, 0 rows affected, 1 warning (0.01 sec)

mysql> flush privileges;
Query OK, 0 rows affected (0.02 sec)

安装：

tar -zxvf ossec-hids-2.8.3.tar.gz

cd  ossec-hids-2.8.3/src

make setdb

Info: Compiled with MySQL support.

cd ..

./install.sh

进入交互式安装界面

** Para instalação em português, escolha [br].
  ** 要使用中文进行安装, 请选择 [cn].
  ** Fur eine deutsche Installation wohlen Sie [de].
  ** Για εγκατάσταση στα Ελληνικά, επιλέξτε [el].
  ** For installation in English, choose [en].
  ** Para instalar en Español , eliga [es].
  ** Pour une installation en français, choisissez [fr]
  ** A Magyar nyelvű telepítéshez válassza [hu].
  ** Per l'installazione in Italiano, scegli [it].
  ** 日本語でインストールします．選択して下さい．[jp].
  ** Voor installatie in het Nederlands, kies [nl].
  ** Aby instalować w języku Polskim, wybierz [pl].
  ** Для инструкций по установке на русском ,введите [ru].
  ** Za instalaciju na srpskom, izaberi [sr].
  ** Türkçe kurulum için seçin [tr].
  (en/br/cn/de/el/es/fr/hu/it/jp/nl/pl/ru/sr/tr) [en]: cn    #选择cn

 OSSEC HIDS v2.8.3 安装脚本 - http://www.ossec.net

 您将开始 OSSEC HIDS 的安装.
 请确认在您的机器上已经正确安装了 C 编译器.
 如果您有任何疑问或建议,请给 dcid@ossec.net (或 daniel.cid@gmail.com) 发邮件.

  - 系统类型: Linux Master 2.6.32-573.el6.x86_64
  - 用户: root
  - 主机: Master

  -- 按 ENTER 继续或 Ctrl-C 退出. --

1- 您希望哪一种安装 (server, agent, local or help)? server     #服务端选择server，客户端选择agent

  - 选择了 Server 类型的安装.

2- 正在初始化安装环境.

 - 请选择 OSSEC HIDS 的安装路径 [/var/ossec]: /usr/local/ossec

    - OSSEC HIDS 将安装在  /usr/local/ossec .

3- 正在配置 OSSEC HIDS.

  3.1- 您希望收到e-mail告警吗? (y/n) [y]: y
   - 请输入您的 e-mail 地址? test@163.com
   - 请输入您的 SMTP 服务器IP或主机名 ? test

  3.2- 您希望运行系统完整性检测模块吗? (y/n) [y]: y

   - 系统完整性检测模块将被部署.

  3.3- 您希望运行 rootkit检测吗? (y/n) [y]: y

   - rootkit检测将被部署.

  3.4- 关联响应允许您在分析已接收事件的基础上执行一个
       已定义的命令.
       例如,你可以阻止某个IP地址的访问或禁止某个用户的访问权限.
       更多的信息,您可以访问:
       http://www.ossec.net/en/manual.html#active-response
   - 您希望开启联动(active response)功能吗? (y/n) [y]: y

     - 关联响应已开启

   - 默认情况下, 我们开启了主机拒绝和防火墙拒绝两种响应.
     第一种情况将添加一个主机到 /etc/hosts.deny.
     第二种情况将在iptables(linux)或ipfilter(Solaris,
     FreeBSD 或 NetBSD）中拒绝该主机的访问.
   - 该功能可以用以阻止 SSHD 暴力攻击, 端口扫描和其他
     一些形式的攻击. 同样你也可以将他们添加到其他地方,
     例如将他们添加为 snort 的事件.

   - 您希望开启防火墙联动(firewall-drop)功能吗? (y/n) [y]: y

     - 防火墙联动(firewall-drop)当事件级别 >= 6 时被启动

   - 联动功能默认的白名单是:
      - 114.114.114.114
      - 218.85.152.99
      - 218.85.157.99

   - 您希望添加更多的IP到白名单吗? (y/n)? [n]: y
   - 请输入IP (用空格进行分隔): 8.8.8.8

  3.5- 您希望接收远程机器syslog吗 (port 514 udp)? (y/n) [y]: y

   - 远程机器syslog将被接收.

  3.6- 设置配置文件以分析一下日志:
    -- /var/log/messages
    -- /var/log/secure
    -- /var/log/maillog

 -如果你希望监控其他文件, 只需要在配置文件ossec.conf中
  添加新的一项.
  任何关于配置的疑问您都可以在 http://www.ossec.net 找到答案.

  --- 按 ENTER 以继续 ---

完成安装，开始进行配置

添加ossec用户和组：

useradd ossec

useradd ossecm -g ossec

useradd ossecr -g ossec

/usr/local/ossec/bin/ossec-control enable database

mysql -uossec -p < ./src/os_dbd/mysql.schema      #新增表

chmod u+w /usr/local/ossec/etc/ossec.conf

vim /usr/local/ossec/etc/ossec.conf

添加

<database_output>
    <hostname>127.0.0.1</hostname>
    <username>ossec</username>
    <password>ossec</password>
    <database>ossec</database>
    <type>mysql</type>
  </database_output>

 <remote>
    <connection>syslog</connection>
    <allowed-ips>192.168.1.0/24</allowed-ips>
  </remote>

  <remote>
    <connection>secure</connection>
    <allowed-ips>192.168.1.0/24</allowed-ips>
  </remote>

添加agent

/usr/local/ossec/bin/manage_agents

****************************************
* OSSEC HIDS v2.8.3 Agent manager.     *
* The following options are available: *
****************************************
   (A)dd an agent (A).
   (E)xtract key for an agent (E).
   (L)ist already added agents (L).
   (R)emove an agent (R).
   (Q)uit.
Choose your action: A,E,L,R or Q: A     #选择添加agent

- Adding a new agent (use '\q' to return to the main menu).
  Please provide the following:
   * A name for the new agent: ossec-agent-7        #agent的名词
   * The IP Address of the new agent: 192.168.1.7
   * An ID for the new agent[001]:                   #默认，直接按Enter
Agent information:
   ID:001
   Name:ossec-agent-7
   IP Address:192.168.1.7

Confirm adding it?(y/n): y
Agent added.

****************************************
* OSSEC HIDS v2.8.3 Agent manager.     *
* The following options are available: *
****************************************
   (A)dd an agent (A).
   (E)xtract key for an agent (E).
   (L)ist already added agents (L).
   (R)emove an agent (R).
   (Q)uit.
Choose your action: A,E,L,R or Q: E     #查找Agent的key，在安装agent端时需插入该key

Available agents:
   ID: 001, Name: ossec-agent-7, IP: 192.168.1.7
Provide the ID of the agent to extract the key (or '\q' to quit): 001

Agent key information for '001' is:
MDAxIG9zc2VjLWFnZW50LTcgMTkyLjE2OC4xLjcgMDNjNDc0ZDFmYWM0ZGZkMjgzOTQ5NjIwMTYzZGZkZmYxYjNkMTJhMTA3MjcwNWFiMDEwOTVhOWFmNGFhZmFlNw==

** Press ENTER to return to the main menu

/usr/local/ossec/bin/ossec-control start

Agent安装配置：

useradd ossec

tar -zxvf ossec-hids-2.8.3.tar.gz

cd  ossec-hids-2.8.3/src

cd ..

./install.sh

** Para instalação em português, escolha [br].
  ** 要使用中文进行安装, 请选择 [cn].
  ** Fur eine deutsche Installation wohlen Sie [de].
  ** Για εγκατάσταση στα Ελληνικά, επιλέξτε [el].
  ** For installation in English, choose [en].
  ** Para instalar en Español , eliga [es].
  ** Pour une installation en français, choisissez [fr]
  ** A Magyar nyelvű telepítéshez válassza [hu].
  ** Per l'installazione in Italiano, scegli [it].
  ** 日本語でインストールします．選択して下さい．[jp].
  ** Voor installatie in het Nederlands, kies [nl].
  ** Aby instalować w języku Polskim, wybierz [pl].
  ** Для инструкций по установке на русском ,введите [ru].
  ** Za instalaciju na srpskom, izaberi [sr].
  ** Türkçe kurulum için seçin [tr].
  (en/br/cn/de/el/es/fr/hu/it/jp/nl/pl/ru/sr/tr) [en]: cn
which: no host in (/usr/local/sbin:/usr/local/bin:/usr/sbin:/usr/bin:/root/bin)
 OSSEC HIDS v2.8.3 安装脚本 - http://www.ossec.net

 您将开始 OSSEC HIDS 的安装.
 请确认在您的机器上已经正确安装了 C 编译器.
 如果您有任何疑问或建议,请给 dcid@ossec.net (或 daniel.cid@gmail.com) 发邮件.

  - 系统类型: Linux localhost.localdomain 3.10.0-327.el7.x86_64
  - 用户: root
  - 主机: localhost.localdomain

  -- 按 ENTER 继续或 Ctrl-C 退出. --

1- 您希望哪一种安装 (server, agent, local or help)? agent

  - 选择了 Agent(client) 类型的安装.

2- 正在初始化安装环境.

 - 请选择 OSSEC HIDS 的安装路径 [/var/ossec]: /usr/local/ossec

    - OSSEC HIDS 将安装在  /usr/local/ossec .

3- 正在配置 OSSEC HIDS.

  3.1- 请输入 OSSEC HIDS 服务器的IP地址或主机名: 192.168.1.7

   - 添加服务器IP  192.168.1.7

  3.2- 您希望运行系统完整性检测模块吗? (y/n) [y]: y

   - 系统完整性检测模块将被部署.

  3.3- 您希望运行 rootkit检测吗? (y/n) [y]: y

   - rootkit检测将被部署.

  3.4 - 您希望开启联动(active response)功能吗? (y/n) [y]: y

  3.5- 设置配置文件以分析一下日志:
    -- /var/log/messages
    -- /var/log/secure
    -- /var/log/maillog

 -如果你希望监控其他文件, 只需要在配置文件ossec.conf中
  添加新的一项.
  任何关于配置的疑问您都可以在 http://www.ossec.net 找到答案.

  --- 按 ENTER 以继续 ---

从服务端获取key，并插入到客户端：

/usr/local/ossec/bin/manage_agents

****************************************
* OSSEC HIDS v2.8.3 Agent manager.     *
* The following options are available: *
****************************************
   (I)mport key from the server (I).
   (Q)uit.
Choose your action: I or Q: I

* Provide the Key generated by the server.
* The best approach is to cut and paste it.
*** OBS: Do not include spaces or new lines.

Paste it here (or '\q' to quit):

MDAxIG9zc2VjLWFnZW50LTcgMTkyLjE2OC4xLjcgMDNjNDc0ZDFmYWM0ZGZkMjgzOTQ5NjIwMTYzZGZkZmYxYjNkMTJhMTA3MjcwNWFiMDEwOTVhOWFmNGFhZmFlNw==

/usr/local/ossec/bin/ossec-control start

参考：

http://ossec.github.io/docs/