介绍
您如何跟踪服务器上的授权和未经授权的活动?
OSSEC 是您可以在您的服务器上安装的工具,以跟踪其活动。
OSSEC是一个开源的,基于主机的入侵检测系统(HIDS),它执行日志分析,完整性检查,Windows注册表监控, rootkit检测,基于时间的警报和积极响应。
如果正确配置,OSSEC可以为您提供实时视图,了解您的服务器上正在发生的事情。
本教程将向您展示如何安装和配置OSEC以监控运行Ubuntu 14.04 LTS的DigitalOcean服务器,我们将配置OSEC,以便如果文件被修改,删除或添加到服务器,OSEC将通过电子邮件通知您 - 在实时。
OSSEC可以做的不仅仅是通知您文件的更改,但一个文章是不够的告诉你如何利用它的所有功能。
问:OSCE的优点是什么?
在我们进入安装和配置部分之前,让我们看看一些具体的好处,您可以从使用OSEC中获得。
下面是来自 OSSEC 的电子邮件通知的例子,显示了 /var/ossec/etc/ossec.conf 文件已被修改。
1OSSEC HIDS Notification.
22014 Nov 29 09:45:15
3
4Received From: kuruji->syscheck
5Rule: 552 fired (level 7) -> "Integrity checksum changed again (3rd time)."
6Portion of the log(s):
7
8Integrity checksum changed for: '/var/ossec/etc/ossec.conf'
9Size changed from '7521' to '7752'
如果您收到這樣的警告,並沒有預期該檔案會改變,那麼您知道某些未經授權的東西發生在您的伺服器上。
以下是 OSSEC 的另一个示例电子邮件警报,显示文件 /etc/ossec/testossec.txt 已被删除。
1OSSEC HIDS Notification.
22014 Nov 29 10:56:14
3
4Received From: kuruji->syscheck
5Rule: 553 fired (level 7) -> "File deleted. Unable to retrieve checksum."
6Portion of the log(s):
7
8File /etc/ossec/testossec.txt was deleted. Unable to retrieve checksum.
再次,如果你没有删除该文件,你应该弄清楚在你的服务器上发生了什么。
现在,如果上述情况让你想安装 OSSEC,那么这里有几个你需要做的第一件事。
前提条件
当然,你需要有一个服务器,你想监控。本教程假定你已经有一个,它已经设置用于使用. 它可能是你今天刚刚设置的服务器,或者你已经使用了几个月。
- Ubuntu 14.04 服务器
- 您应该在服务器上创建一个 sudo用户. 在这个例子中,用户名为 sammy . 然而,这个教程将更容易完成作为 root 用户:
1sudo su
- 可选:如果您想从本地 SMTP 服务器发送邮件,您应该安装 Postfix用于简单的电子邮件发送
- OSSEC 安装需要一些编译,因此您需要安装
gcc
和make
。
要安装所有必要的包,先更新服务器:
1apt-get update
安装这些包:
1apt-get install build-essential inotify-tools
现在,我们已经整理了初步,让我们进入乐趣的一部分。
步骤 1 – 下载和验证 OSSEC
在此步骤中,您将下载 OSSEC tarball 和包含其加密检查总数的文件。
由于这是一个安全文章,我们将做一些额外的工作来验证我们是否安装有效的软件. 这个想法是,您可以生成下载的 OSSEC tarball 的 MD5 和 SHA1 检查总数,并将其与检查总数文件中的数据进行比较. 如果它们匹配,那么您可以假定 tarball 没有被篡改。
在写作时,最新的服务器版本的 OSSEC 是版本 2.8.1. 要下载它,键入:
1wget -U ossec http://www.ossec.net/files/ossec-hids-2.8.1.tar.gz
要下载 checksum 文件,键入:
1wget -U ossec http://www.ossec.net/files/ossec-hids-2.8.1-checksum.txt
若要验证两个文件是否存在,请键入:
1ls -l ossec*
你应该看到这些文件:
1ossec-hids-2.8.1-checksum.txt
2ossec-hids-2.8.1.tar.gz
现在,让我们用猫命令来检查支票量文件,如下:
1cat ossec-hids-2.8.1-checksum.txt
预期产量:
1MD5(ossec-hids-2.8.1.tar.gz)= c2ffd25180f760e366ab16eeb82ae382
2SHA1(ossec-hids-2.8.1.tar.gz)= 0ecf1df09558dc8bb4b6f65e1fb2ca7a7df9817c
在上述输出中,重要部分是 = 标志右侧的部分,这些是 tarball 的 MD5 和 SHA1 检查总和。
现在我们将确保我们生成的支票金额与我们下载的支票金额匹配。
要生成 tarball 的 MD5sum,键入:
1md5sum ossec-hids-2.8.1.tar.gz
预期产量:
1c2ffd25180f760e366ab16eeb82ae382 ossec-hids-2.8.1.tar.gz
将生成的 MD5 支票总数与支票总数文件中的支票总数进行比较,它们应匹配。
对于 SHA1 检查总数,通过键入:
1sha1sum ossec-hids-2.8.1.tar.gz
预期产量:
10ecf1df09558dc8bb4b6f65e1fb2ca7a7df9817c ossec-hids-2.8.1.tar.gz
如果两者都匹配,你是好的去。
第2步:安装OSEC
在此步骤中,您将安装OSEC。
OSSEC 可以在 服务器 、 代理 、 本地 或 混合 模式下安装。
在安装可以开始之前,您必须扩展文件. 您可以通过键入:
1tar -zxf ossec-hids-2.8.1.tar.gz
之后,您应该有一个名为 ossec-hids-2.8.1 的目录。 要开始安装,您必须将 (cd) 更改为该目录,您可以通过键入:
1cd ossec-hids-2.8.1
要查看您现在所处的目录的内容,请使用 ls 命令键入:
1ls -lgG
你应该看到这些文件和目录:
1total 100
2drwxrwxr-x 4 4096 Sep 8 21:03 active-response
3-rw-rw-r-- 1 542 Sep 8 21:03 BUGS
4-rw-rw-r-- 1 289 Sep 8 21:03 CONFIG
5drwxrwxr-x 6 4096 Sep 8 21:03 contrib
6-rw-rw-r-- 1 3196 Sep 8 21:03 CONTRIBUTORS
7drwxrwxr-x 4 4096 Sep 8 21:03 doc
8drwxrwxr-x 4 4096 Sep 8 21:03 etc
9-rw-rw-r-- 1 1848 Sep 8 21:03 INSTALL
10-rwxrwxr-x 1 32019 Sep 8 21:03 install.sh
11-rw-rw-r-- 1 24710 Sep 8 21:03 LICENSE
12-rw-rw-r-- 1 1664 Sep 8 21:03 README.md
13drwxrwxr-x 30 4096 Sep 8 21:03 src
这个列表中唯一感兴趣的文件是install.sh. 这是OSSEC安装脚本。
1./install.sh
您将被要求回答一些安装问题。
您将需要的第一个任务是选择语言,正如下面的输出所示,默认是英语。在整个安装过程中,如果您需要进行选择,则任何字符串的输入都是默认的。如果默认是您想要的,请按 ENTER 键来接受默认。除了需要输入您的电子邮件地址,我们建议您接受所有默认 - 除非您知道正在做什么。
入口显示为红色。
因此,如果您的语言是英语,请按ENTER
。否则,输入您的语言的两个字母,然后按ENTER
。
1(en/br/cn/de/el/es/fr/hu/it/jp/nl/pl/ru/sr/tr) [en]:
选择语言后,你应该看到这个:
1OSSEC HIDS v2.8 Installation Script - http://www.ossec.net
2
3 You are about to start the installation process of the OSSEC HIDS.
4 You must have a C compiler pre-installed in your system.
5 If you have any questions or comments, please send an e-mail
6 to [email protected] (or [email protected]).
7
8 - System: Linux kuruji 3.13.0-36-generic
9 - User: root
10 - Host: kuruji
11
12 -- Press ENTER to continue or Ctrl-C to abort. --
按下 Enter 后,您将获得:
11- What kind of installation do you want (server, agent, local, hybrid or help)? local
输入本地
并按 Enter. 你应该得到:
1- Local installation chosen.
2
32- Setting up the installation environment.
4
5 - Choose where to install the OSSEC HIDS [/var/ossec]:
接受默认值,然后按 Enter. 然后,你会得到:
1- Installation will be made at /var/ossec .
2
33- Configuring the OSSEC HIDS.
4
5 3.1- Do you want e-mail notification? (y/n) [y]:
按入。
1- What's your e-mail address? [email protected]
输入您希望收到 OSSEC 通知的电子邮件地址。
1- We found your SMTP server as: mail.example.com.
2 - Do you want to use it? (y/n) [y]:
3
4--- Using SMTP server: mail.example.com.
按 Enter,除非您有想要使用的特定 SMTP 服务器设置。
现在是时候让OSSEEC知道它应该运行哪些检查了,以响应脚本中的任何提示,通过按ENTER
来接受默认。
进入完整性检查 DAEMON。
13.2- Do you want to run the integrity check daemon? (y/n) [y]:
2
3- Running syscheck (integrity check daemon).
进入 rootkit 检测。
13.3- Do you want to run the rootkit detection engine? (y/n) [y]:
2
3- Running rootcheck (rootkit detection).
进入积极响应。
13.4- Active response allows you to execute a specific command based on the events received.
2
3 Do you want to enable active response? (y/n) [y]:
4
5 Active response enabled.
接受 firewall-drop 响应的默认设置. 您的输出可能会显示一些 IPv6 选项 - 这很好。
1Do you want to enable the firewall-drop response? (y/n) [y]:
2
3- firewall-drop enabled (local) for levels >= 6
4
5 - Default white list for the active response:
6 - 8.8.8.8
7 - 8.8.4.4
8
9 - Do you want to add more IPs to the white list? (y/n)? [n]:
**您可以在这里添加您的IP地址,但这不是必要的。
OSSEC现在将提供一个默认列表的文件,它将监控. 安装后可以添加额外的文件,所以按 Enter。
13.6- Setting the configuration to analyze the following logs:
2 -- /var/log/auth.log
3 -- /var/log/syslog
4 -- /var/log/dpkg.log
5
6 - If you want to monitor any other file, just change
7 the ossec.conf and add a new localfile entry.
8 Any questions about the configuration can be answered
9 by visiting us online at http://www.ossec.net .
10
11 --- Press ENTER to continue ---
此时,安装程序拥有安装 OSSEC 所需的所有信息. 点击返回并让安装程序完成其工作。 安装需要大约 5 分钟。 如果安装成功,您现在已经准备好启动并配置 OSSEC。
注: 安装可能失败的原因之一是,如果编译器没有安装,那么你会收到这样的错误:
`` 5- 安装系统
- 运行Makefile ./install.sh: 85:./install.sh:做:未找到
错误 0x5. 构建错误.无法完成安装。
如果安装成功,您应该看到此类型的输出:
1- System is Debian (Ubuntu or derivative).
2 - Init script modified to start OSSEC HIDS during boot.
3
4 - Configuration finished properly.
5
6 - To start OSSEC HIDS:
7 /var/ossec/bin/ossec-control start
8
9 - To stop OSSEC HIDS:
10 /var/ossec/bin/ossec-control stop
11
12 - The configuration can be viewed or modified at /var/ossec/etc/ossec.conf
13
14 --- Press ENTER to finish (maybe more information below). ---
OSSEC 已安装,下一步是启动。
步骤 3 – 开始 OSCE
默认情况下,OSSEEC配置为在启动时启动,但第一次,您需要手动启动。
若要检查其当前状态,请键入:
1/var/ossec/bin/ossec-control status
预期产量:
1ossec-monitord not running...
2ossec-logcollector not running...
3ossec-syscheckd not running...
4ossec-analysisd not running...
5ossec-maild not running...
6ossec-execd not running...
这告诉你,OSCE的任何进程都没有运行。
要开始OSSEC,类型:
1/var/ossec/bin/ossec-control start
你应该看到它开始:
1Starting OSSEC HIDS v2.8 (by Trend Micro Inc.)...
2Started ossec-maild...
3Started ossec-execd...
4Started ossec-analysisd...
5Started ossec-logcollector...
6Started ossec-syscheckd...
7Started ossec-monitord...
8Completed.
如果您再次检查状态,您应该得到确认OSEC现在正在运行。
1/var/ossec/bin/ossec-control status
这个结果表明,OSCE正在运行:
1ossec-monitord is running...
2ossec-logcollector is running...
3ossec-syscheckd is running...
4ossec-analysisd is running...
5ossec-maild is running...
6ossec-execd is running...
在启动OSEC之后,您应该收到这样写的电子邮件:
1OSSEC HIDS Notification.
22014 Nov 30 11:15:38
3
4Received From: ossec2->ossec-monitord
5Rule: 502 fired (level 3) -> "Ossec server started."
6Portion of the log(s):
7
8ossec: Ossec started.
这是另一个确认 OSSEC 正在工作,并将发送电子邮件警报,每当它被配置为监控发生的事情。
如果您没有立即收到此电子邮件,不要担心. 您可能仍然需要调整您的电子邮件设置(我们将在教程中稍后讨论),以确保您的 OSSEC 服务器的电子邮件可以通过您的邮件提供商。
步骤 4 — 配置 OSSEC 对文件更改的实时警告
接下来,让我们了解OSCE的文件和目录,并了解如何更改OSCE的监控和警报设置。
在本教程中,我们将修改 OSSEC,以便在您指定的目录中修改、删除或添加文件时通知您。
了解OSCE的目录结构
OSSEC 的默认目录是一个 chroot-ed (沙盒) 环境,只有具有 root (admin) 权限的用户才能访问。
因此,将cd
输入安装目录,键入:
1cd /var/ossec
要在新工作目录中列出文件,键入:
1ls -lgG
你应该看到这些文件和目录:
1total 40
2dr-xr-x--- 3 4096 Nov 26 14:56 active-response
3dr-xr-x--- 2 4096 Nov 20 20:56 agentless
4dr-xr-x--- 2 4096 Nov 20 20:56 bin
5dr-xr-x--- 3 4096 Nov 29 00:49 etc
6drwxr-x--- 5 4096 Nov 20 20:56 logs
7dr-xr-x--- 11 4096 Nov 20 20:56 queue
8dr-xr-x--- 4 4096 Nov 20 20:56 rules
9drwxr-x--- 5 4096 Nov 20 21:00 stats
10dr-xr-x--- 2 4096 Nov 20 20:56 tmp
11dr-xr-x--- 3 4096 Nov 29 18:34 var
- OSSEC 的主要配置文件位于
/var/ossec/etc
目录中。 - 预定义规则位于
/var/ossec/rules
目录中 - 用于管理 OSSEC 的命令位于
/var/ossec/bin
- 请注意
/var/ossec/logs
目录。
主配置文件, /var/ossec/etc/ossec.conf
要访问主配置文件,您必须更改为 /var/ossec/etc
。
1cd /var/ossec/etc
如果你在该目录中做一个ls
,你会看到这些文件和目录:
1ls -lgG
结果:
1total 120
2-r--r----- 1 97786 Sep 8 22:03 decoder.xml
3-r--r----- 1 2842 Sep 8 22:03 internal_options.conf
4-r--r----- 1 3519 Oct 30 13:46 localtime
5-r--r----- 1 7752 Nov 29 09:45 ossec.conf
6-rw-r----- 1 87 Nov 20 20:56 ossec-init.conf
7drwxrwx--- 2 4096 Nov 20 21:00 shared
主要配置文件为 /var/ossec/etc/ossec.conf
。
在修改文件之前,做一个备份副本,只是在这种情况下. 要创建该副本,使用‘cp’命令如下:
1cp /var/ossec/etc/ossec.conf /var/ossec/etc/ossec.conf.00
想法是,如果您的更改不起作用或扰乱系统,您可以返回副本并恢复正常,这是最简单的灾难恢复实践,您应该始终利用。
现在,使用nano
编辑器打开ossec.conf
。
1nano /var/ossec/etc/ossec.conf
配置文件是一个非常长的XML文件,有几个部分。
电子邮件设置
** 注意: ** 电子邮件通常很细微,特别是如果您发送给更严格的邮件提供商,例如发送到Gmail地址。
您将看到的第一个配置选项是您在安装过程中指定的电子邮件凭据. 如果您需要指定不同的电子邮件地址和/或SMTP服务器,这是您需要做的地方。
1<global>
2 <email_notification>yes</email_notification>
3 <email_to>[email protected]</email_to>
4 <smtp_server>mail.example.com.</smtp_server>
5 <email_from>ossecm@ossec_server</email_from>
6</global>
默认情况下,OSEC每小时发送12封电子邮件,这样您就不会被电子邮件警报淹没,您可以通过将<email_maxperhour>N</email_maxperhour>
设置添加到该部分来增加或降低该值,这样它就可以读到:
1<global>
2 <email_notification>yes</email_notification>
3 <email_to>[email protected]</email_to>
4 <smtp_server>mail.example.com.</smtp_server>
5 <email_from>ossecm@ossec_server</email_from>
6 <email_maxperhour>N</email_maxperhour>
7</global>
请用您每小时想要接收的电子邮件数量代替N
,在 1 和 9999 之间。
某些第三方电子邮件服务提供商(例如 Google 和 Fastmail)会默默地放下 OSSEC 发送的警报,如果<email_from>
地址不包含有效域组件,如上面的代码组件中的一部分。
1<global>
2 <email_notification>yes</email_notification>
3 <email_to>[email protected]</email_to>
4 <smtp_server>mail.example.com.</smtp_server>
5 <email_from>sammy@ossec_server.com</email_from>
6</global>
<email_to>
和<email_from>
地址可能是相同的,例如:
1<global>
2 <email_notification>yes</email_notification>
3 <email_to>[email protected]</email_to>
4 <smtp_server>mail.example.com.</smtp_server>
5 <email_from>[email protected]</email_from>
6</global>
如果您不希望使用外部电子邮件提供商的 SMTP 服务器,您可以指定自己的 SMTP 服务器,如果您已经配置了 SMTP 服务器。 (本教程未涵盖此问题,但您可以按照 这些指示安装 Postfix)。
1<global>
2 <email_notification>yes</email_notification>
3 <email_to>[email protected]</email_to>
4 <smtp_server>localhost</smtp_server>
5 <email_from>[email protected]</email_from>
6</global>
OSSEC默认情况下不会发送实时警报,但本教程呼吁实时通知,所以这就是你要修改的一个方面。
如果您仍然没有收到 OSSEC 的预期电子邮件,请检查/var/ossec/logs/ossec.log
的邮件日志,以查找邮件错误。
邮件错误的例子:
12014/12/18 17:48:35 os_sendmail(1767): WARN: End of DATA not accepted by server
22014/12/18 17:48:35 ossec-maild(1223): ERROR: Error Sending email to 74.125.131.26 (smtp server)
您可以使用这些错误消息来帮助您解决收到电子邮件通知的任何问题。
扫描频率
在ossec.conf
的<syscheck>
部分中,该部分开始如下:
1<syscheck>
2 <!-- Frequency that syscheck is executed - default to every 22 hours -->
3 <frequency>79200</frequency>
我们将启用新的文件创建警告。 添加行 <alert_new_files>yes</alert_new_files>
以便它读取如下:
1<syscheck>
2 <!-- Frequency that syscheck is executed - default to every 22 hours -->
3 <frequency>79200</frequency>
4
5 <alert_new_files>yes</alert_new_files>
对于测试目的,您可能还希望将系统检查的频率设置为更低。 默认情况下,系统检查每22小时运行一次. 对于测试目的,您可能希望将此设置为每分钟一次,即60
秒。
1<syscheck>
2 <!-- Frequency that syscheck is executed - default to every 22 hours -->
3 <frequency>60</frequency>
4
5 <alert_new_files>yes</alert_new_files>
目录和文件更改设置
就在此之后,您应该看到OSEC监控的系统目录列表。
1<!-- Directories to check (perform all possible verifications) -->
2<directories check_all="yes">/etc,/usr/bin,/usr/sbin</directories>
3<directories check_all="yes">/bin,/sbin</directories>
让我们通过在每个行中添加设置 `report_changes="yes" realtime="yes" 来启用实时监控。
1<!-- Directories to check (perform all possible verifications) -->
2<directories report_changes="yes" realtime="yes" check_all="yes">/etc,/usr/bin,/usr/sbin</directories>
3<directories report_changes="yes" realtime="yes" check_all="yes">/bin,/sbin</directories>
「report_changes="yes"」的意思是「實時="yes」」的意思。
除了 OSSEC 已配置监控的默认目录列表外,您还可以添加您想要监控的新目录。 在下一节中,我将告诉 OSSEC 监控 /home/sammy
和 /var/www
。
1<!-- Directories to check (perform all possible verifications) -->
2<directories report_changes="yes" realtime="yes" check_all="yes">/etc,/usr/bin,/usr/sbin</directories>
3<directories report_changes="yes" realtime="yes" check_all="yes">/bin,/sbin</directories>
4
5<directories report_changes="yes" realtime="yes" restrict=".php|.js|.py|.sh|.html" check_all="yes">/home/sammy,/var/www</directories>
您应该修改目录以匹配您想要的设置. 如果您的用户名不为 sammy ,您将想要更改到首页目录的路径。
对于新的目录进行监控,我们添加了限制
选项,该选项告诉OSEC仅监控指定的文件格式. 您不必使用该选项,但当您有其他文件,如图像文件,您不希望OSEC警告时,它很有用。
这是所有对 ossec.conf
的更改. 你可以保存和关闭文件。
在 /var/ossec/rules/local_rules.xml 中的本地规则
要更改的下一个文件是在 /var/ossec/rules
目录中,所以 cd
通过键入:
1cd /var/ossec/rules
如果你在该目录中创建一个ls
,你会看到一些类似于以下的XML文件:
1ls -lgG
缩短产量:
1total 376
2-r-xr-x--- 1 5882 Sep 8 22:03 apache_rules.xml
3-r-xr-x--- 1 2567 Sep 8 22:03 arpwatch_rules.xml
4-r-xr-x--- 1 3726 Sep 8 22:03 asterisk_rules.xml
5-r-xr-x--- 1 4315 Sep 8 22:03 attack_rules.xml
6
7...
8
9-r-xr-x--- 1 1772 Nov 30 17:33 local_rules.xml
10
11...
12
13-r-xr-x--- 1 10359 Sep 8 22:03 ossec_rules.xml
14
15...
这些文件中只有两个现在对我们有兴趣 - local_rules.xml
和 ossec_rules.xml
. 后者包含 OSSEC 的默认规则定义,而前者是您添加自定义规则的地方. 换句话说,除了 local_rules.xml
,您不会在这个目录中修改任何文件。
在ossec_rules.xml
中的默认规则定义有用,所以我们可以修改并将其复制到我们的本地规则中。在ossec_rules.xml
中,当文件被添加到监控目录时会发生的规则是规则 554 。默认情况下,OSEC在触发该规则时不会发出警报,所以这里的任务是改变该行为。
1<rule id="554" level="0">
2<category>ossec</category>
3<decoded_as>syscheck_new_entry</decoded_as>
4<description>File added to the system.</description>
5<group>syscheck,</group>
6</rule>
OSSEC 不会发出警告,如果一个规则的级别
设置为 0 . 我们希望修改此规则以提高警告级别.而不是在默认文件中更改该规则,我们将将该规则复制到local_rules.xml
并修改它,以便它可以触发警告。
要做到这一点,请对 /var/ossec/rules/local_rules.xml
文件进行备份:
1cp /var/ossec/rules/local_rules.xml /var/ossec/rules/local_rules.xml.00
用 nano 编辑文件:
1nano /var/ossec/rules/local_rules.xml
将新规则添加到文件的末尾,确保它位于 <group>... </group>
标签中。
1<rule id="554" level="7" overwrite="yes">
2<category>ossec</category>
3<decoded_as>syscheck_new_entry</decoded_as>
4<description>File added to the system.</description>
5<group>syscheck,</group>
6</rule>
保存并关闭文件。
这些都是必要的变化。
重启 奥斯卡
现在剩下的只是重新启动 OSSEC,每次你修改 OSSEC 文件时必须做的事情。
1/var/ossec/bin/ossec-control restart
如果一切正常工作,您应该收到OSSEC的电子邮件,通知您它已经(重新)启动。
步骤 5 — Trigger 文件更改警告
根据OSSEC已配置监控的目录发生了什么情况,您应该收到读到这样的电子邮件:
现在尝试在 /home/sammy
中创建样本文件
1touch /home/sammy/index.html
等一会儿,再添一些内容:
1nano /home/sammy/index.html
等待一分钟,删除文件:
1rm /home/sammy/index.html
你应该开始接收这样的通知:
1OSSEC HIDS Notification.
22014 Nov 30 18:03:51
3
4Received From: ossec2->syscheck
5Rule: 550 fired (level 7) -> "Integrity checksum changed."
6Portion of the log(s):
7
8Integrity checksum changed for: '/home/sammy/index.html'
9Size changed from '21' to '46'
10What changed:
111c1,4
12< This is an html file
13---
14
15 <!doctype html> <p>This is an html file</p>
16
17Old md5sum was: '4473d6ada73de51b5b36748627fa119b'
18New md5sum is : 'ef36c42cd7014de95680d656dec62de9'
19Old sha1sum was: '96bd9d685a7d23b20abd7d8231bb215521bcdb6c'
20New sha1sum is : '5ab0f31c32077a23c71c18018a374375edcd0b90'
或者这个:
1OSSEC HIDS Notification.
22014 Dec 01 10:13:31
3
4Received From: ossec2->syscheck
5Rule: 554 fired (level 7) -> "File added to the system."
6Portion of the log(s):
7
8New file '/var/www/header.html' added to the file system.
關於檔案的修改和刪除,OSEC 不發出實時警告,只發出檔案的修改和刪除。 關於檔案的添加警告在完整的系統檢查後發出,這取決於「ossec.conf」中的頻率檢查時間。
」 nano /var/ossec/etc/ossec.conf `` 設定為「頻率」:
``
MK1BR >!-- 執行syscheck的頻率 - 默認為每22小時 -> <
再次,如果您没有收到电子邮件,请检查您的垃圾邮件,检查您的/var/ossec/logs/ossec.log
,检查您的邮件日志等。
结论
我希望这给了你一个OSSEC所提供的品味。更多先进的设置和配置是可能的,所以继续关注如何部署OSSEC来监控和保护你的服务器的未来文章。
有关 OSSEC 的更多信息,请访问该项目的网站: http://www.ossec.net/。