介绍
OSSEC是一个开源的,基于主机的入侵检测系统(HIDS),它执行日志分析,完整性检查,Windows注册表监控, rootkit检测,基于时间的警报和积极响应。
在本教程中,您将学习如何安装 OSSEC 来监控所安装的 Fedora 21 或 RHEL 服务器:本地 OSSEC 安装。
前提条件
要完成这个教程,你需要:
- Fedora 21 Droplet 您已通过遵循 此教程来设置。
这个教程应该作为一个非 root sudo 用户来遵循。
步骤 1 – 安装必要的包
在本节中,您将安装一些所需的包。
特别是,使用以下命令安装bind-utils,gcc,make和inotify-tools。
1sudo yum install -y bind-utils gcc make inotify-tools
bind-utils 提供域名系统 (DNS) 实用工具, gcc 和 make 将被 OSSEC 安装程序使用,而 OSSEC 需要 inotify-tools 来实时通知。
第2步:下载和验证OSEC
OSSEC 以压缩的 tarball 形式交付,在此步骤中,您将下载它及其支票金额文件,以验证 tarball 没有被篡改。
您可以查看 项目的网站的最新版本. 在此写作时,‘OSSEC 2.8.1’是最新的稳定版本。
首先,下载TARBALL。
1wget -U ossec http://www.ossec.net/files/ossec-hids-2.8.1.tar.gz
然后,下载支票金额文件。
1wget -U ossec http://www.ossec.net/files/ossec-hids-2.8.1-checksum.txt
在下载两种文件后,检查压缩 tarball 的 md5sum。
1md5sum -c ossec-hids-2.8.1-checksum.txt
产量应该是:
1ossec-hids-2.8.1.tar.gz: OK
2md5sum: WARNING: 1 line is improperly formatted
通过验证 SHA1 检查总数来执行此操作。
1sha1sum -c ossec-hids-2.8.1-checksum.txt
它的产量应该是:
1ossec-hids-2.8.1.tar.gz: OK
2sha1sum: WARNING: 1 line is improperly formatted
在每个情况下,忽略 警告行. OK行是确认文件是好的。
步骤 3 – 找到您的 SMTP 服务器
在安装 OSSEC 时设置电子邮件通知时,OSSEC 将要求您的 SMTP 服务器。
要确定您的电子邮件服务提供商使用的正确 SMTP 服务器,您可以使用挖掘命令查询提供商的邮件交换器 (MX) 资源记录。
1dig -t mx example.com
输出由几个部分组成,但我们只对包含一个或多个行的 ANSWER部分感兴趣。
例如,如果您使用fastmail.com执行命令:
1dig -t mx fastmail.com
提供商的有效SMTP服务器将在答复部分的每个列表的末尾,该部分应该读到:
1;; ANSWER SECTION:
2fastmail.com. 3600 IN MX 10 in1-smtp.messagingengine.com.
3fastmail.com. 3600 IN MX 20 in2-smtp.messagingengine.com.
在此示例中,您可以使用 in1-smtp.messagingengine.com. 或 in2-smtp.messagingengine.com. 作为 SMTP 服务器。
复制您的电子邮件提供商的 SMTP 服务器之一,并将其保存,以便在下一步中输入。
第4步:安装OSEC
在此步骤中,我们将安装OSEC。
在启动安装之前,使用:
1tar xf ossec-hids-2.8.1.tar.gz
它将被解包到一个名为ossec-hids-2.8.1的目录中。
1cd ossec-hids-2.8.1
然后开始安装。
1sudo ./install.sh
在整个设置过程中,您将被要求提供一些输入. 在大多数情况下,您只需要按 ENTER来接受默认值。
首先,您将被要求选择安装语言. 默认情况下,它是英语(en),所以按 ENTER如果这是您偏好的语言. 否则,请从支持的语言列表中输入 2 个字母。
问题 1 会问您想要哪种类型的安装. 在这里,输入 本地。
11- What kind of installation do you want (server, agent, local, hybrid or help)? local
对于下列所有问题,请按 ENTER 以接受默认值。 问题 3.1 还会提示您的电子邮件地址,然后要求您的 SMTP 服务器 ip/host. 在这里,输入您的电子邮件地址和您从步骤 3 保存的 SMTP 服务器。
如果安装成功,在最后,你应该看到这个输出:
1- Configuration finished properly.
2
3...
4
5 More information can be found at http://www.ossec.net
6
7 --- Press ENTER to finish (maybe more information below). ---
点击Enter完成安装。
步骤 5 – 验证 OSSEC 的电子邮件设置
在这里,我们将验证在上一步中指定的电子邮件凭证和OSSEC自动配置的凭证是正确的。
电子邮件设置位于 OSSEC 的主要配置文件中,即 ossec.conf,该文件位于 /var/ossec/etc 目录中. 要访问和修改任何 OSSEC 文件,您首先需要切换到 root 用户。
1sudo su
现在你已经 root,‘cd’进入OSSEC配置文件所在的目录。
1cd /var/ossec/etc
首先,做一个备份副本的文件。
1cp ossec.conf ossec.conf.00
在这里,我们使用nano文本编辑器,但你可以使用任何你喜欢的文本编辑器。
1nano ossec.conf
电子邮件设置位于文件的顶部. 这里是字段的描述。
- **<email_to>**是您在安装过程中提供的电子邮件。警告将发送到该电子邮件地址。
- **<email_from>**是OSSEC的警告似乎来自的地方。 将其更改为有效的电子邮件地址,以减少您的电子邮件被电子邮件提供商的SMTP服务器标记为垃圾邮件的可能性。
- **<smtp_server>**是您在设置过程中指定的SMTP服务器。
请注意, <email_to> 和 <email_from> 可能是相同的,如果您有自己的电子邮件服务器在与 OSSEC 服务器相同的主机上,您可以将 <smtp_server> 设置更改为 localhost。
这里是你完成后该部分将是什么样子。
1<global>
2 <email_notification>yes</email_notification>
3 <email_to>[email protected]</email_to>
4 <smtp_server>mail.example.com.</smtp_server>
5 <email_from>[email protected]</email_from>
6</global>
更改电子邮件设置后,保存并关闭文件,然后启动 OSSEC。
1/var/ossec/bin/ossec-control start
检查您的收件箱,看到一封电子邮件说OSEC已经开始。如果您收到来自OSEC安装的电子邮件,那么您知道未来的警报也会到达您的收件箱。
步骤 6 - 添加警报
默认情况下,OSSEEC会发出有关文件更改和服务器上的其他活动的警告,但不会对新增的文件发出警告,也不会实时发出警告 - 仅在预定系统扫描后,默认情况下是79200秒(或22小时)。
首先,打开ossec.conf。
1nano ossec.conf
然后向下滚动到
1<syscheck>
2 <!-- Frequency that syscheck is executed - default to every 22 hours -->
3 <frequency>79200</frequency>
在 **<频率>**标签下,添加<alert_new_files>yes</alert_new_files>。
1<syscheck>
2 <!-- Frequency that syscheck is executed - default to every 22 hours -->
3 <frequency>79200</frequency>
4
5 <alert_new_files>yes</alert_new_files>
虽然您仍然有ossec.conf打开,请查看OSEC监控的系统目录列表,该列表就在您刚刚修改的最后一行以下。
1<!-- Directories to check (perform all possible verifications) -->
2<directories check_all="yes">/etc,/usr/bin,/usr/sbin</directories>
3<directories check_all="yes">/bin,/sbin</directories>
对于每个目录列表,添加 report_changes="yes" 和 realtime="yes" 选项。
1<!-- Directories to check (perform all possible verifications) -->
2<directories report_changes="yes" realtime="yes" check_all="yes">/etc,/usr/bin,/usr/sbin</directories>
3<directories report_changes="yes" realtime="yes" check_all="yes">/bin,/sbin</directories>
除了 OSSEC 已配置监控的默认目录列表之外,您还可以添加任何您想要监控的目录,例如,您可以为您的主目录添加监控,‘/home/sammy’。
1<directories report_changes="yes" realtime="yes" check_all="yes">/home/sammy</directories>
现在保存并关闭ossec.conf。
要修改的下一个文件是在 /var/ossec/rules 目录中,所以移动到该目录。
1cd /var/ossec/rules
该/var/ossec/rules目录包含许多XML文件,包括ossec_rules.xml,其中包含OSEC的默认规则定义,以及local_rules.xml,在那里您可以添加自定义规则。
在ossec_rules.xml中,当文件添加到监控目录时会出现的规则是规则554. 默认情况下,OSSEEC在触发该规则时不会发出警告,因此这里的任务是改变该行为。
1<rule id="554" level="0">
2<category>ossec</category>
3<decoded_as>syscheck_new_entry</decoded_as>
4<description>File added to the system.</description>
5<group>syscheck,</group>
6</rule>
如果一个规则设置为 0 级,则 OSSEC 不会发出警报,因此我们会将该规则复制到local_rules.xml并修改为触发警报。
1nano local_rules.xml
添加下列内容在文件的末尾,在带有</group>标签的行前。
1<rule id="554" level="7" overwrite="yes">
2<category>ossec</category>
3<decoded_as>syscheck_new_entry</decoded_as>
4<description>File added to the system.</description>
5<group>syscheck,</group>
6</rule>
现在,重新启动 OSSEC 来重新加载我们编辑的文件。
1/var/ossec/bin/ossec-control restart
您现在应该收到有关监控目录和日志文件的 OSSEC 警报。
结论
现在你有一个基本的本地OSSEC安装设置,还有很多进一步的定制可用,你可以在 官方文档中探索。
有关如何在客户端服务器或服务器代理模式(而不是本地模式)中安装 OSSEC 的想法,请参阅 如何在 Ubuntu 14.04 上使用 OSSEC 服务器监控 OSSEC 代理程序。