OSSEC***檢測系統的安裝部署

前言

OSSEC是一款開源的多平臺的***檢測系統，可以運行於Windows, Linux, OpenBSD/FreeBSD, 以及 MacOS等操作系統中。包括了日誌分析，全面檢測，root-kit檢測。作爲一款HIDS，OSSEC應該被安裝在一臺實施監控的系統中。另外有時候不需要安裝完全版本得OSSEC，如果有多臺電腦都安裝了OSSEC，那麼就可以採用C/S模式來運行。客戶機通過客戶端程序將數據發回到服務器端進行分析。

OSSEC服務端IP：192.168.1.107

OSSEC Agent IP:192.168.1.54

一、OSSEC環境安裝

1.1、安裝基礎環境

[root@tshare365 ~]# yum install wget gcc make mysql mysql-server mysql-devel httpd php php-mysql sendmail

1.2、啓動服務

[root@tshare365 ~]# for i in {httpd,mysqld,sendmail};do service $i restart;done

1.3、數據庫的授權

[root@tshare365 ~]# mysql
mysql> create database ossec;
Query OK, 1 row affected (0.00 sec)

mysql> grant INSERT,SELECT,UPDATE,CREATE,DELETE,EXECUTE on ossec.* to ossec@localhost;
Query OK, 0 rows affected (0.00 sec)

mysql> set password for ossec@localhost=PASSWORD('ossec');
Query OK, 0 rows affected (0.00 sec)

mysql> flush privileges
    -> ;
Query OK, 0 rows affected (0.00 sec)

mysql> exit
Bye
[root@tshare365 ~]#

三、OSSEC服務端安裝配置

3.1、安裝OSSEC

[root@tshare365 ~]# wget [root@tshare365 ~]# tar xf ossec-hids-2.8.1.tar.gz 
[root@tshare365 ~]# cd ossec-hids-2.8.1
[root@tshare365 ossec-hids-2.8.1]# cd src/
[root@tshare365 src]# make setdb; cd  .. 
Error: PostgreSQL client libraries not installed.

Info: Compiled with MySQL support.

注意： 只要是出現 Mysql support 就說明是支持Mysql的

[root@tshare365 ossec-hids-2.8.1]# ./install.sh 
 
 您將開始 OSSEC HIDS 的安裝.
 請確認在您的機器上已經正確安裝了 C 編譯器.
 如果您有任何疑問或建議,請給 [email protected] (或 [email protected]) 發郵件.
 
  - 系統類型: Linux tshare365 2.6.32-431.el6.x86_64
  - 用戶: root
  - 主機: tshare365
 
1- 您希望哪一種安裝 (server, agent, local or help)? server

  - 選擇了 Server 類型的安裝.

2- 正在初始化安裝環境.

 - 請選擇 OSSEC HIDS 的安裝路徑 [/var/ossec]: /user/local/ossec

    - OSSEC HIDS 將安裝在  /user/local/ossec .

3- 正在配置 OSSEC HIDS.

  3.1- 您希望收到e-mail告警嗎? (y/n) [y]: y
   - 請輸入您的 e-mail 地址? [email protected]
   - 請輸入您的 SMTP 服務器IP或主機名 ? 127.0.0.1

  3.2- 您希望運行系統完整性檢測模塊嗎? (y/n) [y]: y

   - 系統完整性檢測模塊將被部署.

  3.3- 您希望運行 rootkit檢測嗎? (y/n) [y]: y

   - rootkit檢測將被部署.
       
  3.4- 關聯響應允許您在分析已接收事件的基礎上執行一個
       已定義的命令.
       例如,你可以阻止某個IP地址的訪問或禁止某個用戶的訪問權限.
       更多的信息,您可以訪問:
       http://www.ossec.net/en/manual.html#active-response
   - 您希望開啓聯動(active response)功能嗎? (y/n) [y]: y


     - 關聯響應已開啓

   - 默認情況下, 我們開啓了主機拒絕和防火牆拒絕兩種響應.
     第一種情況將添加一個主機到 /etc/hosts.deny.
     第二種情況將在iptables(linux)或ipfilter(Solaris,
     FreeBSD 或 NetBSD）中拒絕該主機的訪問.
   - 該功能可以用以阻止 SSHD 暴力***, 端口掃描和其他
     一些形式的***. 同樣你也可以將他們添加到其他地方,
     例如將他們添加爲 snort 的事件.

   - 您希望開啓防火牆聯動(firewall-drop)功能嗎? (y/n) [y]: y

     - 防火牆聯動(firewall-drop)當事件級別 >= 6 時被啓動

   - 聯動功能默認的白名單是:
      - 202.99.166.4
      - 202.99.160.68

   - 您希望添加更多的IP到白名單嗎? (y/n)? [n]: y
   - 請輸入IP (用空格進行分隔): 8.8.8.8,4.4.4.4

  3.5- 您希望接收遠程機器syslog嗎 (port 514 udp)? (y/n) [y]: y

   - 遠程機器syslog將被接收.

  3.6- 設置配置文件以分析一下日誌:
    -- /var/log/messages
    -- /var/log/secure
    -- /var/log/maillog
    -- /var/log/httpd/error_log (apache log)
    -- /var/log/httpd/access_log (apache log)
                            
 -如果你希望監控其他文件, 只需要在配置文件ossec.conf中
  添加新的一項. 
  任何關於配置的疑問您都可以在 http://www.ossec.net 找到答案.

  --- 按 ENTER 以繼續 ---
  
  ..........編譯安裝過程省略......
  
 - 系統類型是  Redhat Linux.
 - 修改啓動腳本使 OSSEC HIDS 在系統啓動時自動運行 

 - 已正確完成系統配置.

 - 要啓動 OSSEC HIDS:
		/user/local/ossec/bin/ossec-control start

 - 要停止 OSSEC HIDS:
		/user/local/ossec/bin/ossec-control stop

 - 要查看或修改系統配置,請編輯  /user/local/ossec/etc/ossec.conf

3.2、啓用數據庫支持並導入數據

[root@tshare365 ossec-hids-2.8.1]# /user/local/ossec/bin/ossec-control enable database

[root@tshare365 ossec-hids-2.8.1]# mysql -uossec -p ossec < ./src/os_dbd/mysql.schema

3.3、修改部分配置文件的權限

[root@tshare365 ossec-hids-2.8.1]# chmod u+w /user/local/ossec/etc/ossec.conf

3.4、修改/user/local/ossec/etc/ossec.conf添加Mysql信息

<ossec_config>
    <database_output>
        <hostname>127.0.0.1</hostname>
        <username>ossec</username>
        <password>ossec</password>
        <database>ossec</database>
        <type>mysql</type>
    </database_output>
</ossec_config>

3.5、接收遠端syslog信息

 <remote>
    <connection>syslog</connection>
    <allowed-ips>192.168.0.0/16</allowed-ips>
  </remote>

3.6、配置Agent信息

[root@tshare365 ossec-hids-2.8.1]# /user/local/ossec/bin/manage_agents 
****************************************
* OSSEC HIDS v2.8 Agent manager.     *
* The following options are available: *
****************************************
   (A)dd an agent (A).
   (E)xtract key for an agent (E).
   (L)ist already added agents (L).
   (R)emove an agent (R).
   (Q)uit.
Choose your action: A,E,L,R or Q: A

- Adding a new agent (use '\q' to return to the main menu).
  Please provide the following:
   * A name for the new agent: ossec-agent
   * The IP Address of the new agent: 192.168.1.54
   * An ID for the new agent[001]: 
Agent information:
   ID:001
   Name:ossec-agent
   IP Address:192.168.1.54

Confirm adding it?(y/n): y
Agent added.


****************************************
* OSSEC HIDS v2.8 Agent manager.     *
* The following options are available: *
****************************************
   (A)dd an agent (A).
   (E)xtract key for an agent (E).
   (L)ist already added agents (L).
   (R)emove an agent (R).
   (Q)uit.
Choose your action: A,E,L,R or Q: E

Available agents: 
   ID: 001, Name: ossec-agent, IP: 192.168.1.54
Provide the ID of the agent to extract the key (or '\q' to quit): 001

Agent key information for '001' is: 
MDAxIG9zc2VjLWFnZW50IDE5Mi4xNjguMS41NCA5Nzc1N2I5NDk3ZDcwNTRkMGZkNzZhYTE0MzE4ZWZlOWNjZmNiZjM5NzhhYTVkMDA1NjE5OWE2ZDc5ZGRmNjgw

** Press ENTER to return to the main menu.

注意、需要將key記錄到文本中，後面需要用到

3.7、啓動OSSEC服務

[root@tshare365 ossec-hids-2.8.1]# /user/local/ossec/bin/ossec-control restart

四、安裝OSSEC客戶端

4.1、安裝Agent端

[root@ossec-agent ~]# tar xf ossec-hids-2.8.1.tar.gz 
[root@ossec-agent ~]# cd ossec-hids-2.8.1
[root@ossec-agent ossec-hids-2.8.1]# ./install.sh 
which: no host in (/usr/local/mysql/bin:/usr/local/sbin:/usr/local/bin:/sbin:/bin:/usr/sbin:/usr/bin:/root/bin:/root/bin)

  ** Para instalao em português, escolha [br].
  ** 要使用中文進行安裝, 請選擇 [cn].
  ** Fur eine deutsche Installation wohlen Sie [de].
  ** Για εγκατσταση στα Ελληνικ, επιλξτε [el].
  ** For installation in English, choose [en].
  ** Para instalar en Espaol , eliga [es].
  ** Pour une installation en franais, choisissez [fr]
  ** A Magyar nyelv telepítéshez válassza [hu].
  ** Per l'installazione in Italiano, scegli [it].
  ** 日本語でインストールします．選択して下さい．[jp].
  ** Voor installatie in het Nederlands, kies [nl].
  ** Aby instalowa w jzyku Polskim, wybierz [pl].
  ** Для инструкций по установке на русском ,введите [ru].
  ** Za instalaciju na srpskom, izaberi [sr].
  ** Türke kurulum iin sein [tr].
  (en/br/cn/de/el/es/fr/hu/it/jp/nl/pl/ru/sr/tr) [en]: cn
which: no host in (/usr/local/mysql/bin:/usr/local/sbin:/usr/local/bin:/sbin:/bin:/usr/sbin:/usr/bin:/root/bin:/root/bin)
 OSSEC HIDS v2.8 安裝腳本 - http://www.ossec.net
 
 您將開始 OSSEC HIDS 的安裝.
 請確認在您的機器上已經正確安裝了 C 編譯器.
 如果您有任何疑問或建議,請給 [email protected] (或 [email protected]) 發郵件.
 
  - 系統類型: Linux ossec-agent 2.6.32-431.el6.x86_64
  - 用戶: root
  - 主機: ossec-agent


  -- 按 ENTER 繼續或 Ctrl-C 退出. --


1- 您希望哪一種安裝 (server, agent, local or help)? agent

  - 選擇了 Agent(client) 類型的安裝.

2- 正在初始化安裝環境.

 - 請選擇 OSSEC HIDS 的安裝路徑 [/var/ossec]: /user/local/ossec

    - OSSEC HIDS 將安裝在  /user/local/ossec .

3- 正在配置 OSSEC HIDS.

  3.1- 請輸入 OSSEC HIDS 服務器的IP地址或主機名: 192.168.1.107

   - 添加服務器IP  192.168.1.107

  3.2- 您希望運行系統完整性檢測模塊嗎? (y/n) [y]: y

   - 系統完整性檢測模塊將被部署.

  3.3- 您希望運行 rootkit檢測嗎? (y/n) [y]: y

   - rootkit檢測將被部署.

  3.4 - 您希望開啓聯動(active response)功能嗎? (y/n) [y]: y


  3.5- 設置配置文件以分析一下日誌:
    -- /var/log/messages
    -- /var/log/secure
    -- /var/log/maillog

                            
 -如果你希望監控其他文件, 只需要在配置文件ossec.conf中
  添加新的一項. 
  任何關於配置的疑問您都可以在 http://www.ossec.net 找到答案.


  --- 按 ENTER 以繼續 ---


5- 正在安裝系統
 - 正在運行Makefile
 編譯安裝輸出省略....
 
 - 系統類型是  Redhat Linux.
 - 修改啓動腳本使 OSSEC HIDS 在系統啓動時自動運行 

 - 已正確完成系統配置.

 - 要啓動 OSSEC HIDS:
		/user/local/ossec/bin/ossec-control start

 - 要停止 OSSEC HIDS:
		/user/local/ossec/bin/ossec-control stop

 - 要查看或修改系統配置,請編輯  /user/local/ossec/etc/ossec.conf



    感謝使用 OSSEC HIDS.
    如果您有任何疑問,建議或您找到任何bug,
    請通過　[email protected] 或郵件列表 [email protected] 聯繫我們.    
    ( http://www.ossec.net/en/mailing_lists.html ).

    您可以在　http://www.ossec.net 獲得更多信息

    --- 請按　ENTER 結束安裝 (下面可能有更多信息). ---

   
 - 您必須首先將該代理添加到服務器端以使他們能夠相互通信.
   這樣做了以後,您可以運行'manage_agents'工具導入
   服務器端產生的認證密匙.
   /user/local/ossec/bin/manage_agents

   詳細信息請參考: 
   http://www.ossec.net/en/manual.html#ma

[root@ossec-agent ossec-hids-2.8.1]#

4.2、配置Agent

[root@ossec-agent ossec-hids-2.8.1]# /user/local/ossec/bin/manage_agents  

****************************************
* OSSEC HIDS v2.8 Agent manager.     *
* The following options are available: *
****************************************
   (I)mport key from the server (I).
   (Q)uit.
Choose your action: I or Q: I

* Provide the Key generated by the server.
* The best approach is to cut and paste it.
*** OBS: Do not include spaces or new lines.

Paste it here (or '\q' to quit): MDAxIG9zc2VjLWFnZW50IDE5Mi4xNjguMS41NCA5Nzc1N2I5NDk3ZDcwNTRkMGZkNzZhYTE0MzE4ZWZlOWNjZmNiZjM5NzhhYTVkMDA1NjE5OWE2ZDc5ZGRmNjgw

Agent information:
   ID:001
   Name:ossec-agent
   IP Address:192.168.1.54

Confirm adding it?(y/n): y
Added.
** Press ENTER to return to the main menu.

4.3、啓動Agent服務

[root@ossec-agent ossec-hids-2.8.1]# /user/local/ossec/bin/ossec-control start

 

四、安裝web界面服務

4.1、安裝web

[root@tshare365 ~]# mv analogi-master /var/www/html/tshare365
[root@tshare365 ~]# chown -R apache.apache /var/www/html/tshare365/
[root@tshare365 ~]# cd /var/www/html/tshare365/
[root@tshare365 tshare365]# cp db_ossec.php.new db_ossec.php

4.2、編輯db_ossec.php文件，修改MySQL的配置信息

define ('DB_USER_O', 'ossec');
define ('DB_PASSWORD_O', 'ossec');
define ('DB_HOST_O', '127.0.0.1');
define ('DB_NAME_O', 'ossec');

4.3、修改 apache 配置，增加虛擬目錄

[root@tshare365 tshare365]# vim /etc/httpd/conf.d/tshare365.conf

<Directory /var/www/html/tshare365>
    Order deny,allow
    Deny from all
    Allow from 192.168.0.0/16
</Directory>

4.4、重啓http服務

[root@tshare365 tshare365]# /etc/init.d/httpd restart

五、客戶端訪問測試

5.1、遊覽器訪問

本博客到此結束，如有什麼問題，求留言！