OSSEC中文使用手册
OSSEC中文使用手册
注:该手册是本人为了阅读方便而翻译的,其中可能有不少错误。有任何疑问可以参考原文。
www.ossec/doc/
Manual
oInstallation
oSyscheck
oRootcheck
oAgents
oLog monitoring/analysis
oRules and Decoders
oOutput and Alert options
oActive Response
OSSEC是一个开源的入侵检测系统,它可以执行LOG分析,完整性检查,windows注册表监控,rootkit检测,实时报警及动态响影。它可以运行在大多数的操作系统上,包括Linux,OpenBSD,FreeBSD,Mac,Solaris and Windows.等。
OSSEC安装
OSSEC HIDS 主程序和代理安装
安装OSSEC HIDS 很简单,只需要很少的几步就可完成整个安装。首先你要明白你要选择的安装类型(主程序、代理,本地主机)你还要知道安装顺序(总是会先安装主程序)。
    如果你熟悉LINUX,你只需要下载OSSEC HIDS的最新板本,解压后运行 “./install.sh” 脚本。
1.下载最新板本并验证它的校验和。
# wget www.ossec/files/
# wget www.ossec/files/
# cat
MD5 () = XXXXXXX
SHA1 () = YYYYYYYY
# md5
MD5 () = XXXXXXX
# sha1
SHA1 () = YYYYYYYY
注意:在部分系统MD5,shal,wget 命令或许不可用,你可以用md5sum,shalsum,lynx 分别替换它们。
2.解压ossec-hids-*., 并进入解压后的目录,运行”./install.sh”脚本,安装向导会带领你完成这个安装。
# tar -zxvf ossec-hids-*. (or gunzip -d; tar -xvf)
# cd ossec-hids-*
# ./install.sh
3.如果在服务器和代理之间有防火墙,要打开UDP端口1514(本地安装不需要这么做)
4.启动OSSEC HIDS
# /var/ossec/bin/ossec-control start
无代理监控
    无代理监控允许运行完整性检查(未来可以监控日志)它不需要在被监控系统上安装代理,(包括routers,firewalls,switches,and even Linux/BSD systems)就可以执行完整性检查(校验和改变报警)还可以进行文件比较并显示改变了什么。
无代理配置选项
    Agentless
    Frequency
    Host
    State
    Arguments
在服务器端启用无代理监控
    # /var/ossec/bin/ossec-control enable agentless
    为你想要访问的主机提供SSH认证。例如Cisco 设备(PIX  routers,etc), 您需要提供一个额外的参数启用密码。在这个例子中,我添加了一个linux主机(example)和一个IPX防火墙(pix.fw.local)
# /var/ossec/agentless/register_host.sh add **************** mypass1
  *Host ***************** added.
# /var/ossec/agentless/register_host.sh add **********.local pixpass enablepass
  *Host **********.local added.
# /var/ossec/agentless/register_host.sh list
  *Available hosts:
**********.local
****************
如果你要使用公钥认证而不是密码,你需要提供密码NOPASS并创建公钥。
    # sudo -u ossec ssh-keygen
在/var/ossec/.ssh下公钥会被创建。而后将公钥用SCP考贝到远端主机。这是你不需要密码连接就可以工作。
配置说明
首先你要添加你要监控的系统,并配置OSSEC监控它们。默认情况下我们有四个无代理类型(很快我们计划增加更多的类型)。
ssh_integrity_check_bsd
ssh_integrity_check_linux
ssh_generic_diff
ssh_pixconfig_diff
对于前两项,在配置文件中给出一个目录列表,OSSEC会对远程主机指定目录做完整性检查。 ssh_generic_diff,比较远程主机运行的一组命令,当输出改变时报警。 ssh_pixconfig_diff当一台Cisco PIX /路由器的配置变化时会报警.
下面的这个例子,我将每10小时监控(****************)的/bin,/etc,/sbin目录。(如果使用 ssh__integrity_check_bsd类型,参数也应该是目录。
    <agentless>
    <type>ssh_integrity_check_linux</type>
    <frequency>36000</frequency>
    <host>****************</host>
    <state>periodic</state>
    <arguments>/bin /etc/ /sbin</arguments>
</agentless>
PIX的例子,配置看起来像这样。
    <agentless>
    <type>ssh_pixconfig_diff</type>
    <frequency>36000</frequency>
    <host>**********.local</host>
<state>periodic_diff</state>
</agentless>
如果还要监控一些命令,如 ls –la /etc: cat /etc/passwd 只需要增加下面的参数就可以。注意如果你想监控任何网络防火墙或交换机,您可以使用ssh_generic_diff,只是在参数选项指定命令。要使用“su”,你需要设置值“use_su”在主机名的前面(例如: <host> use_su **************** </host> )。
<agentless>
    <type>ssh_generic_diff</type>
    <frequency>36000</frequency>
    <host>****************</host>
    <state>periodic_diff</state>
    <arguments>ls -la /etc; cat /etc/passwd</arguments>
</agentless>
完成配置后你需要重启OSSEC, OSSEC会对配置文件进行检查,如果有问题会有LOG日志生成,你可以查看/var/ossec/logs/ossec.log这个文件。假如你看到有错误信息,它的意思是你的server系统没有安装可以执行的expect库。(在被监控的系统上不需要安装任何东西)在Ubuntu你可以用下列方法安装:
# apt-get install expect
重启OSSEC,你应该能看到它现在可以连接到被监控的系统。
在log中你应该可以看到一些报警消息
For the ssh_generic_diff:
OSSEC HIDS Notification.
正则匹配快代理
2008 Dec 12 01:58:30
Received From: (ssh_generic_diff) *****************>agentless
Rule: 555 fired (level 7) -> "Integrity checksum for agentless device changed."
Portion of the log(s):
ossec: agentless: Change detected:
35c35
< -rw-r-r- 1 root wheel 34 Dec 10 03:55 hosts.deny
--
> -rw-r-r- 1 root wheel 34 Dec 11 18:23 hosts.deny
-END OF NOTIFICATION
For the PIX:
OSSEC HIDS Notification.
2008 Dec 01 15:48:03
Received From: (ssh_pixconfig_diff) **********.local->agentless
Rule: 555 fired (level 7) -> "Integrity checksum for agentless device changed."
Portion of the log(s):
ossec: agentless: Change detected:
48c48
< fixup protocol ftp 21
--
> no fixup protocol ftp 21
100c100
< ssh timeout 30
--
> ssh timeout 50

版权声明:本站内容均来自互联网,仅供演示用,请勿用于商业和其他非法用途。如果侵犯了您的权益请与我们联系QQ:729038198,我们将在24小时内删除。