一.OSSEC简要介绍:
OSSEC
是一款开源的入侵检测系统,包括了日志分析,全面检测,rook-kit检测。作为一款HIDS,OSSEC应该被安装在一台实施监控的系统中。另外有时
候不需要安装完全版本得OSSEC,如果有多台电脑都安装了OSSEC,那么就可以采用客户端/服务器模式来运行。客户机通过客户端程序将数据发回到服务
器端进行分析。在一台电脑上对多个系统进行监控对于企业或者家庭用户小游戏来说都是相当经济实用的。
对我来说OSSEC最大的优势在于它几乎
可以运行在任何一种操作系统上,比如Windows, Linux, OpenBSD/FreeBSD, 以及
MacOS。不过运行在Windows上的客户端无法实现root-kit检测,而其他系统上的客户端都没有问题。OSSEC的手册上说OSSEC目前还
不支持Windows系统下得root-kit检测
二.安装
1. 安装所需软件:Basically, for Unix systems, ossec just requires gcc and glibc.
下载软件:从http://www.ossec.net
上下载最新的OSSEC
源代码包;
2. 安装服务器:
1). 选择一台服务器作为OSSEC服务器;
2). 将OSSEC源代码包拷贝到该服务器并解压;
3). 进入OSSEC目录并运行install.sh开始安装(如果想让ossec支持mysql,则在安装前先需入src目录下执行make
setdb命令,如果想让ossec支持更多代理,在src目录下执行make
setmaxagents命令,ossec目前最大只支持2048个客户端,并且大多数系统对最大文件数有限制,我们可以通过ulimit -n
2048来增加系统支持的最大文件数(或者sysctl -w kern.maxfiles=2048;
4). 在提示输入安装类型时,输入server;
5). 在提示输入安装路径时,输入/opt/ossec;
6). 在提示是否希望接收E-MAIL通告时, 接受默认值, 并在接下来的提示中依次输入用来接收OSSEC 通告的E-MAIL地址,
邮件服务器的名字或IP地址,我这里是选择localhost作为mta,然后通过设置/etc/alias别名列表来将邮件转发到我指定的邮箱;
7). 其它提示接受默认值;
3. 安装代理:
1). 将OSSEC源代码包拷贝到某台欲在其上安装OSSEC代理的linux服务器上并解压;
2). 进入OSSEC目录并运行install.sh开始安装;
3). 在提示输入安装类型时,输入agent;
4). 在提示输入安装路径时,输入/opt/ossec;
5). 在提示输入服务器IP地址时输入我们的OSSEC服务器的IP地
址;
6). 其它提示接受默认值;
在欲在其上安装OSSEC代理的所有linux服务器执行1) – 6)
三.配置
1. 在OSSEC服务器上运行 /opt/ossec/bin/manage-agents;
2. 在某个OSSEC代理上运行 /opt/ossec/bin/manage-agents;
3. 在OSSEC服务器的主菜单下输入A/a 增加一个代理, 为该代理输入一个容易区别的名字(比如其hostname), 并输入其IP 地址;
4. 在主菜单下输入E/e 为该代理生成密钥;
5. 在该OSSEC代理的主菜单下输入I/i 准备导入OSSEC服务器生成的密钥;
6. 将OSSEC服务器生成的密钥复制到OSSEC代理;
7. 按Q/q键退出OSSEC服务器和代理, 并重新启动OSSEC服务器和代理(分别在OSSEC服务器和代理所在的服务器上执行/etc/init.d/ossec restart)
在欲在其上配置OSSEC代理的所有linux服务器执行2) – 7)
OSSEC安装
8. ossec安装完后,默认会在$directory生成如下几个目录:active-response,bin,etc,logs,queue,
rules,stats,tmp,var,主要配置文件为/$directory/etc/ossec.conf,$directory为你ossec安
装目录,每个选项的详细说明请见:http://www.ossec.net/en/manual.html
#installorder。规则文件目录为 /$directory/rules
分享到:
相关推荐
cnhids cnhids是基于用于cardano节点的主机入侵检测系统: cnHids的目的是通过提供给Prometheus和Grafana来制作简单的SIEM,提供一种监视和分析OSSEC数据的简便方法。 一些常见用例已作为面板添加到了仪表板中(预计...
它在一个简单,功能强大且开源的解决方案中将HIDS(基于主机的入侵检测),日志监视和SIM / SIEM的所有方面结合在一起。 访问我们的网站以获取最新信息。 最新发行 ossec网站上提供了当前的稳定版本。 可以从...
ossec入侵检测搭建部署,第三方web管理ossec-wui0.9版本
OSSEC是一款开源的基于主机的入侵检测系统,可以简称为HIDS。它具备日志分析,文件完整性检查,策略监控,rootkit检测,实时报警以及联动响应等功能。它支持多种操作系统:Linux、Windows、MacOS、Solaris、HP-UX、...
OSSEC是一款开源的多平台的入侵检测系统,可以运行于Windows, Linux, OpenBSD/FreeBSD, 以及 MacOS等操作系统中。包括了日志分析,全面检测,root-kit检测。作为一款HIDS,OSSEC应该被安装在一台实施监控的系统中。...
基于主机的入侵检测 Ossec是一个开源软件
2012年12月21-22日,由杭州安恒信息技术有限公司与人人网联合主办2012(首届)互联网安全高峰论坛成功举办,本届高峰论坛的主题为“末日安全 & 人人安恒”。本届论坛主要内容将围绕WEB应用防护的技术体系建设和产品...
ossec是一款开源的主机安全入侵检测系统,可以支持window,unix,bsd等操作系统。
OSSEC HIDS的主要功能有日志分析、完整性检查、rootkit检测、基于时间的警报和主动响应。除了具有入侵检测系统功能外,它还一般被用在SEM/SIM(安全事件管理(SEM: Security Event Management)/安全信息管理(SIM...
OSSEC是基于开源主机的入侵检测系统,它执行日志分析,文件完整性检查,策略监视,rootkit检测,实时警报和主动响应。 这些是用于创建OSSEC-HIDS 2.8版debian软件包的文件,这些文件包含在ossec.net网站和WAZUH...
ossec 开源主机威胁检测工具,可以用于在windows系统上收集日志信息,检测攻击行为及文件系统变化等。
ossec官方源码,3.6.0最新版本,编译后用于安装linux下的server和agent,方便部署,可本地自行编译成多平台的可执行程序
WINDOWS下配合OSSEC SERVER的agent,安装方便,与Server段联合使用,可以实现多平台的SEIM功能
Logstash, OSSEC + Logstash + Elasticsearch + Kibana OSSEC使用 LOGSTASH - ELASTICSEARCH - KIBANA 管理 OSSEC警报管理现在是Magento安装脚本的一部分。 https://github.com/magenx/Magento-Automat
ansible-ossec服务器该角色将在主机上安装ossec服务器。 生成状态:要求该角色将在以下方面工作: 红色的帽子德比安的Ubuntu 亚马逊Linux(2) 因此,您将需要其中一种操作系统.. :-)角色变量该角色具有一些您可以...
analogi, 面向OSSEC的图形化Web界面 AnaLogiOSSEC AnaLogi v1.0版权( C ) 2012 ECSC有限公司图形网页界面。= 有关 AnaLogi =的信息""分析日志接口'构建于OSSEC之上( 构建于 OSSEC 2.6之上) ),需要 0修改
ossec.github.io 这些是OSSEC Project官方网站的文件。 当网站源文件更新后,对于该存储库发出拉取请求时,它们将由Travis从ossec / ossec-docs存储库自动构建。 请勿更改此REPO中的文件。 如果要更新网站,请编辑...
OSSEC是一款开源的多平台的入侵检测系统。通过elasticsearch存储数据并使用kibana进行数据的呈现
基于ossec logstash es大数据安全关联分析
ossec-hids-1.6 HIDS ossec