OSSES是一个基于主机的入侵检测系统,它集HIDS、日志监控、安全事件管理于一体
OSSES支持Linux、Solaris、Windows和macOS x 操作系统
OSSES提供如下功能:
文件完整性检查:例如,通过监控/etc/passwd和/etc/shadow文件,可以知道是否有新增系统用户或者用户账号改变的情况
日志监控:例如,通过监控/var/log/secure日志,可以分析出密码是否有暴力破解
Rrootkit检查:通过/sbin , /bin 等系统核心命令执行程序的规则检查,可以知道是否被替换了恶意程序,发现异常时可以报警处理
首先 我们假设有2台Linux虚拟机,Centos6作为OSSES server ,IP为192.168.23.133 ,Centos7作为OSSES agent ,ip为192.168.23.132
在server和agent都需要先进行IDS的安装
yum install -y gcc inotify-tools bind-utils
wget -O ossec.2.9.3.tar.gz https://github.com/ossec/ossec-hids/archive/2.9.3.tar.gz
下载完成后解压安装归档文件,本次我们下载到/usr/src中
下载完成后开始进入ossec-hids-2.9.3 并运行 ./install.sh
选择cn 中文
继续配置安装
后续所有选项我们都默认选Y ,特殊情况根据需求再修改
然后在agent服务器上执行同样的安装操作
当所有的安装完成后 我们再到server上进行配置,设置agent的IP 。通过/var/osses/bin/manage_agents进入配置选项,A表示添加agent
接着输入agent名字 任意取
agent的ip地址
然后enter确认agent的ID
最后选择Y确认添加
此时会生成一长串的密钥 保存好 可以复制下来,然后Q退出server配置 接下来进入Agent配置
选择I 添加刚才生成的密钥 放入就行 然后Q退出配置在server和agent启动OSSEC
/var/ossec/bin/ossec-control start
agent启动之前需要在/var/ossec/etc/shared 中创建agent.conf文件,在文件中进行简单的配置如下:
<agent_config>
<localfile>
<localtion>/var/log/my.log</localtion>
<log_format>syslog</log_format>
</localfile>
</agent_config>
配置完成即可启动
最后通过/var/ossec/bin/ossec-control start 启动服务器和客户端的服务,注意server的开启是否正常
/var/ossec/bin/ossec-control status
