OHID OSSEC 安装指南
2006-xx-1 V1.0
一.概述
OSSEC 是一款很优秀的主机型入侵检测和防护系统, 它可以执行文件系统完整性检查, rootkit 检查, 和系统日志监控, 它通过对系统日志的分析, 可以检测出绝大多数的攻击, 当其跟IPLOG集成后, 还可以检测和对付端口扫描, 忽悠nmap之类的端口扫描软件, 使其不能判断出目标系统的OS类型.
源代码包;
2. 安装服务器:
1). 选择一台服务器作为OSSEC服务器;
2). 将OSSEC源代码包拷贝到该服务器并解压;
3). 进入OSSEC目录并运行install.sh开始安装;
4). 在提示输入安装类型时,输入server;
5). 在提示输入安装路径时,输入/opt/ossec;
6). 在提示是否希望接收E-MAIL通告时, 接受默认值, 并在接下来的提示中依次输入用来接收OSSEC 通告的E-MAIL地址, 邮件服务器的名字或IP地址;
7). 其它提示接受默认值;
3. 安装代理:
1). 将OSSEC源代码包拷贝到某台欲在其上安装OSSEC代理的linux服务器上并解压;
2). 进入OSSEC目录并运行install.sh开始安装;
3). 在提示输入安装类型时,输入agent;
4). 在提示输入安装路径时,输入/opt/ossec;
5). 在提示输入服务器IP地址时输入我们的OSSEC服务器的IP地
址;
6). 其它提示接受默认值;
在欲在其上安装OSSEC代理的所有linux服务器执行1) – 6)
三.配置
1. 在OSSEC服务器上运行 /opt/ossec/bin/manage-agents;
2. 在某个OSSEC代理上运行 /opt/ossec/bin/manage-agents;
3. 在OSSEC服务器的主菜单下输入A/a 增加一个代理, 为该代理输入一个容易区别的名字(比如其hostname), 并输入其IP 地址;
4. 在主菜单下输入E/e 为该代理生成密钥;
5. 在该OSSEC代理的主菜单下输入I/i 准备导入OSSEC服务器生成的密钥;
6. 将OSSEC服务器生成的密钥复制到OSSEC代理;
7. 按Q/q键退出OSSEC服务器和代理, 并重新启动OSSEC服务器和代理(分别在OSSEC服务器和代理所在的服务器上执行/etc/init.d/ossec restart)
在欲在其上配置OSSEC代理的所有linux服务器执行2) – 7)
四.跟IPLOG集成
(一). 安装IPLOG
1. 在[url]http://rpmfind.net[/url] 上查找并下载iplog的RPM包
(版本2.2.3);
2. 将该包安装到所有欲检测和防护端口扫描的OSSEC 代理上;
3. 将附录中的/etc/iplog.conf 文件拷贝为OSSEC代理所在服务器
的/etc/iplog.conf, 并作相应修改;
4. 启动IPLOG, /etc/init.d/iplog start
(二). 配置
1. 修改/opt/ossec/etc/decoder.xml, 在其末尾增加如下配置:
<!-- user-defined decoders -->
<decoder name="iplog-scan">
<prematch>\S+ scan detected</prematch>
<regex offset="after_prematch">\S+ \S+ from (\S+)</regex>
<order>srcip</order>
</decoder>
2. 在/opt/ossec/rules目录下增加一个文件iplog_rules.xml, 其所有关系为ossec:root, 其内容为:
<group name="syslog,errors,">
<rule id="99990" level="7">
<decoded_as>iplog-scan</decoded_as>
<description>iplog scan detect</description>
</rule>
</group>
3. 修改/opt/ossec/ossec.conf,
在<include>部分的末尾增加如下行:
<include>iplog_rules.xml</include>
在<localfile>部分增加如下行:
<localfile>
<log_format>syslog</log_format>
<location>/var/log/iplog</location>
</localfile>
4. 重新启动ossec: /etc/init.d/ossec restart
五.提示
1. 可以在/opt/ossec/ossec.conf 里面配置OSSEC处理哪些日志文件;
2. 可以在/opt/ossec/ossec.conf 里面配置OSSEC在什么情况下告警, 在什么情况下执行主动响应;
3. 如果没有经过十分充分的测试, 不要开启主动响应;
六.附录
1. /etc/iplog.conf
user nobody
group nobody
pid-file /tmp/iplog.pid
logfile /var/log/iplog
facility log_daemon
priority log_info
set log_ip true
set log_dest false
set ignore_dns
# -- modify this section according your need -- #
#interface eth0,eth1
interface eth0
#promisc 0.0.0.0/0.0.0.0
log tcp dport 1045:1055 sport ftp-data
#ignore udp from 192.168.0.2 sport 53
ignore tcp dport 1024: sport 20
ignore tcp dport 80
ignore icmp type unreach
ignore icmp type !echo
ignore udp from 127.1.2/24
ignore udp from 127.1.2/255.255.255.0
# --------------------------------------------- #
# Port Scan Check
set portscan true
set icmp true
set frag true
set smurf true
set bogus true
set fin_scan true
set syn_scan true
set udp_scan true
set fool_nmap true
set xmas_scan true
set null_scan true
set ping_flood true
set traceroute true
本文转自zkjian517 51CTO博客,原文链接:http://blog.51cto.com/zoukejian/56583
