OSSEC搭建与环境配置Ubuntu

于 2024-09-14 15:46:43 发布
阅读量456 收藏 2
点赞数 15
文章标签: ubuntu linux 运维
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_62584974/article/details/142253887
版权

        尝试使用Ubuntu配置了OSSEC,碰见很多问题并解决了,发表博客让后来者不要踩那么多坑

环境 :

server :Ubuntu22.04 64位 内存4GB 处理器4 硬盘60G

agent: 1.Windows11 64位 2.Ubuntu22.04 64位

服务端配置

一、配置安装依赖项(server)

1. OSSEC依赖包 & mysql 环境

sudo apt-get install build-essential make zlib1g-dev libpcre2-dev
sudo apt-get install mysql-server libmysqld-dev
sudo apt-get install libevent-dev
sudo apt-get install libsystemd-dev
sudo apt-get install libssl-dev
sudo apt install libsystemd-dev

2. 安装Apache并配置防火墙

sudo apt update
sudo apt install apache2

确保防火墙允许HTTP和HTTPS流量。 可以检查UFW是否具有Apache的应用程序配置文件,如下所示

sudo ufw app list

查看Apache Full配置文件,它应该显示它启用到端口80和443流量:

sudo ufw app info "Apache Full"

允许此配置文件的传入HTTP和HTTPS流量:

sudo ufw allow in "Apache Full"

 3. 安装PHP

sudo apt install php libapache2-mod-php php-mysql

 二、下载安装OSSEC

1、下载最新发行版 or 3.7.0版本

可以选择一个稳定的版本下载,我使用的是 3.7.0版本

git clone https://github.com/ossec/ossec-hids  下载最新版本

wget https://github.com/ossec/ossec-hids/archive/3.7.0.tar.gz  下载3.7.0版本
tar -zxvf 3.7.0.tar.gz

 2、进入目录,运行install.sh

cd ossec-hids-3.7.0
sudo ./install.sh

3、开启OSSEC

 sudo /var/ossec/bin/ossec-control start

三、配置OSSEC 

默认的OSSEC配置文件位于/var/ossec/etc/ossec.conf。

默认情况下,当一个新文件添加到服务器时,OSSEC不会发送电子邮件警告。

我们需要修改配置文件

nano /var/ossec/etc/ossec.conf

替换以下代码

<syscheck> 
    <!-- Frequency that syscheck is executed - default to every 22 hours --> 
    <frequency>79200</frequency>

替换为: 

<syscheck> 
    <!-- Frequency that syscheck is executed - default to every 60 seconds --> 
    <frequency>60</frequency> 
    <alert_new_files>yes</alert_new_files>

默认情况下,OSSEC不会发送实时警报。要启用此设置,请查找以下行

<!-- Directories to check (perform all possible verifications) --> 
<directories check_all="yes">/etc,/usr/bin,/usr/sbin</directories> 
<directories check_all="yes">/bin,/sbin</directories>

替换为:

<directories report_changes="yes" realtime="yes" check_all="yes">/etc,/usr/bin,/usr/sbin</directories> 
<directories report_changes="yes" realtime="yes" check_all="yes">/var/www,/bin,/sbin</directories>

完成后,保存 Ctrl+S  关闭Ctrl+X文件。

可以需要编辑规则文件local_rules.xml,并为添加到系统中的新文件添加规则。

nano /var/ossec/rules/local_rules.xml

之间添加以下规则部分:

<rule id="554" level="7" overwrite="yes"> 
    <category>ossec</category> 
    <decoded_as>syscheck_new_entry</decoded_as> 
    <description>File added to the system.</description> 
    <group>syscheck,</group> 
</rule>

保存文件。然后,重新启动OSSEC控制服务来应用所有更改

/var/ossec/bin/ossec-control restart

四、安装OSSEC Web UI 

OSSEC HIDS有一个简单的WebUI界面,需要下载。这里有一个坑,如果下载原版本的UI在高php版本会出现无法出现控制页面的BUG,因为这个UI界面是在很早之前做的已经不支持高版本的PHP所以需要修改PHP源码或者是降低PHP版本。寻找到了一个修改后的UI版本

git clone https://github.com/ossec/ossec-wui.git   原版本
git clone https://github.com/H3L0Studios/Ossec-WUI-Fixed.git 修改后的版本
cd Ossec-WUI-Fixed
tar -zxvf ossec-wui.tar.gz 解压

 把文件复制到Apache的目录

cp -r ossec-wui  /var/www/html/ossec

进入并开始安装

cd /var/www/html/ossec
sudo ./setup.sh

出现如下界面,设置好用户名密码即可:

设置管理员用户名/密码和Web服务器用户名:
trap: SIGHUP: bad trap

Setting up ossec ui...

Username: admin

New password: <ENTER PASSWORD>

Re-type new password:<CONFIRM PASSWORD>

Adding password for user admin@123

Enter your web server user name (e.g. apache, www, nobody, www-data, ...)

www-data

You must restart your web server after this setup is done.

Setup completed successfully.

启用Apache重写模块:

sudo a2enmod rewrite
sudo systemctl restart apache2

 查看Apache运行状态:

sudo systemctl status apache2.service

在Web浏览器中打开http://IP/ossec 进入管理面板 

(此处是加了agent后的图)

五、服务端添加代理端主机 

1.进入配置环境

/var/ossec/bin/manage_agents
****************************************
* OSSEC HIDS v3.8.0 Agent manager.     *
* The following options are available: *
****************************************
   (A)dd an agent (A). 添加agent
   (E)xtract key for an agent (E). 导出agent的key
   (L)ist already added agents (L). 列出存在的已经添加的agent
   (R)emove an agent (R). 删除agent
   (Q)uit. 离开
Choose your action: A,E,L,R or Q: q
# 在出现的选择中选A,添加agent,分别给填写:
test   #自己取的名字
192.168.159.1   #agent服务器的IP
001            #自己规定的ID
/var/ossec/bin/manage_agents
# 在出现的选择中选E,在随后的提示里输入ID号:001
就能得到ID为001的agent主机的KEY

客户端配置

windows 客户端

Download OSSEC - OSSEC

进入官网下载agent客户端

下载安装,以管理员打开

填写服务端的IP和前面获得的key

成功连接

可以去UI界面查看 (截图不太一样因为第一次搞的时候翻车了)

Linux客户端

1.安装依赖包(与上面一样不过不需要安装apche和php

2.下载最新发行版 or 3.7.0版本

可以选择一个稳定的版本下载,我使用的是 3.7.0版本

git clone https://github.com/ossec/ossec-hids  下载最新版本

wget https://github.com/ossec/ossec-hids/archive/3.7.0.tar.gz  下载3.7.0版本
tar -zxvf 3.7.0.tar.gz

3.进入目录,运行install.sh

sudo ./install.sh

4.安装的时候选择agent 后输入服务端IP地址即可

1- 您希望哪一种安装 (server, agent, local or help)? agent

  - 选择了 Agent(client) 类型的安装.

2- 正在初始化安装环境.

 - 请选择 OSSEC HIDS 的安装路径 [/var/ossec]: /var/ossec

    - OSSEC HIDS 将安装在  /var/ossec .

3- 正在配置 OSSEC HIDS.

  3.1- 请输入 OSSEC HIDS 服务器的IP地址或主机名: 服务器的IP地址

   - 添加服务器IP  服务器的IP地址

  3.2- 您希望运行系统完整性检测模块吗? (y/n) [y]: y

   - 系统完整性检测模块将被部署.

  3.3- 您希望运行 rootkit检测吗? (y/n) [y]: y

   - rootkit检测将被部署.

  3.4 - 您希望开启联动(active response)功能吗? (y/n) [y]: y

开启OSSEC

 sudo /var/ossec/bin/ossec-control start

5.导入生成的KEY 

/var/ossec/bin/manage_agents

将服务端生成的KEY,在客户端中导入

6.开启OSSEC

 sudo /var/ossec/bin/ossec-control start

注意要先导入key再启动不然会出现

ossec-syscheckd(1210): ERROR: Queue '/var/ossec/queue/ossec/queue' not accessible: 'Connection refused'.

成功导入Linux agent

问题解决

OSSEC Web UI 出现无法打开管理面板问题

前面已经提到了这里做个总结,下载原版本的UI在高php版本会出现无法出现控制页面的BUG,因为这个UI界面是在很早之前做的已经不支持高版本的PHP所以需要修改PHP源码或者是降低PHP版本。

添加agent连接不上的情况

添加的agent连不上可能的原因是1.网络不通,可以互相ping一下,或者是2.防火墙的问题,也可能是agent设置文件可以参考这篇使用文档

Agent systems behind NAT or with dynamic IPs (DHCP) — OSSEC

解决方法3: agent服务器的IP选择any

# 在出现的选择中选A,添加agent,分别给填写:
test2   #自己取的名字
any     #agent服务器的IP
002            #自己规定的ID
/var/ossec/bin/manage_agents
# 在出现的选择中选E,在随后的提示里输入ID号:001
就能得到ID为002的agent主机的KEY
设置为any都可以连接上

如果都不是可以自行查阅日志发现问题

tail -n 100 /var/ossec/logs/ossec.log

Linux agent 导入KEY报错:manage_agents: ERROR: Cannot unlink /queue/rids/sender: No such file or directory

需要在rids下创建sender 文件

touch /var/ossec/queue/rids/sender

再进行导入KEY

/var/ossec/bin/manage_agents

参考文献

Ubuntu安装OSSEC和OSSEC Web UI_ubuntu安装ossec+-CSDN博客

墨言ink
关注
OSSEC安装与搭建
enjoy
05-24 4977
开源入侵检测系统OSSEC搭建之一:服务端安装 OSSEC是一款开源的多平台的入侵检测系统,可以运行于Windows, Linux, OpenBSD/FreeBSD, 以及 MacOS等操作系统中。主要功能有日志分析、完整性检查、rootkit检测、基于时间的警报和主动响应。 除了具有入侵检测系统功能外,它还一般被用在SEM/SIM(安全事件管理(SEM: Security Event Ma...
OSSEC搭建部署(ossec-server(CentOS7.X)和ossec-agent(CentOS7.X))
weixin_44304678的博客
03-20 9554
OSSEC是一款开源的基于主机的入侵检测系统,可以简称为HIDS。它具备日志分析,文件完整性检查,策略监控,rootkit检测,实时报警以及联动响应等功能。它支持多种操作系统:Linux、Windows、MacOS、Solaris、HP-UX、AIX。属于企业安全之利器。 环境: 两台centos 7虚拟机 服务端:192.168.1.160 客户端:192.168.1.165 第一步: 前提环境准备(在ossec-server端) 关闭selinux,找到SELINUX这一行,修改为disabled [r
Centos7搭建部署ossec-server2.8.1
小晓晓晓林的博客
01-06 3146
安装ossec-server端前提环境准备 首先我们安装需要用到的关联库和软件,由于我们最终是需要把日志导入到MySQL中进行分析,以及需要通过web程序对报警结果进行展示,同时需要把本机当做SMTP,所以需要在本机安装MySQL、Apache和sendmail服务。在当前的终端中执行如下命令: yum install wget gcc make mysql mysql-server mys...
开源入侵检测系统OSSEC搭建之二:客户端安装
dieman0446的博客
07-14 436
上一篇文章中已经将OSSEC服务端的安装以及客户端的Key导出操作做了解说,接下来在另一台虚拟机中安装客户端,与安装服务端类似同样需要安装ossec,步骤如下。 一、下载ossec-hids-2.8.3.tar.gz并解压 root@kali2:~# wget https://bintray.com/artifact/download/ossec/ossec-hids/ossec...
基于Ubuntu坏境下的Suricata坏境搭建及监控预警
weixin_51525416的博客
08-28 3337
开源工具利器之基于网络的IDS:Suricata坏境搭建 基于Ubuntu坏境下的Suricata坏境搭建及监控预警
centos7下安装ossec
渗透测试研究中心
06-11 1838
一、前言  OSSEC是一款开源的基于主机的入侵检测系统,可以简称为HIDS。它具备日志分析,文件完整性检查,策略监控,rootkit检测,实时报警以及联动响应等功能。它支持多种操作系统:Linux、Windows、MacOS、Solaris、HP-UX、AIX。属于企业安全之利器。 S/C运行模式,类似于zabbix ossec支持3种日志, Alert logging, firewall ...
wazuh初探系列一 : wazuh环境配置
weixin_51525416的博客
08-22 4290
wazuh环境配置
QEMU PCI设备内存损坏漏洞挑战解析与利用
weixin_36059856的博客
09-04 1488
本文还有配套的精品资源,点击获取 简介:该挑战涉及在QEMU虚拟化平台中找到并利用与PCI设备相关的内存损坏漏洞。参与者需熟悉QEMU的工作原理,尤其是PCI设备模拟部分,并深入理解内核编程和PCI驱动开发。通过编写针对Ubuntu内核的驱动程序并利用此漏洞读取文件系统标志,参与者可以提升在逆向工程、漏洞分析和安全利用方面的能力。 1. QEMU虚拟化平台分析 ...
Ubuntu16.04安装OSSEC详细步骤
zhang35的博客
04-12 1761
参考官网文档:OSSEC Installation 安装环境 Ubuntu 16.04 VMware虚拟机 安装依赖包 安装build-essential来编译安装OSSEC,为了使用系统的pcre2库,安装libpcre2-dev包: apt-get install build-essential make zlib1g-dev libpcre2-dev 为了支持数据库,需要安装mysq...
ansible-role-ossec-agent:安装和配置ossec-agent的角色
05-01
"ansible-role-ossec-agent" 是一个基于Ansible自动化运维工具的角色,专门用于部署和配置OSSEC主机入侵检测系统(HIDS)的代理。标题表明这个角色可以帮助系统管理员快速、一致地在多台服务器上安装并设置OSSEC ...
ossec2.8.1
02-22
OSSEC是一款开源的基于主机的入侵检测系统,可以简称为HIDS。它具备日志分析,文件完整性检查,策略监控,rootkit检测,实时报警以及联动响应等功能。它支持多种操作系统:Linux、Windows、MacOS、Solaris、HP-UX、...
基于Ubuntu2404搭建mysql8配置远程访问
最新发布
m0_56363537的博客
09-13 218
使用系统为Ubuntu2404,mysql8版本为8.0.36。修改密码,似乎是bug,修改密码第一次不成功,第二次可以。
【北京迅为】《STM32MP157开发板使用手册》-第十七章 制作Ubuntu文件系统
BeiJingXunWei的博客
09-10 1488
这里只有四种屏幕的内核镜像,原因是这四种屏幕所使用的触摸驱动相同,而剩下的4.3寸屏幕和10.1寸屏幕所用到的驱动不同,故以上任何一个内核镜像都可以适配。在这里rootfs.ext4为我们要烧写文件系统的镜像。所以我们在烧写镜像的时候需要修改对应的内核镜像,我们以烧写ubuntu18无桌面版本的镜像为例,镜像存放路径为“本章我们构建的是ubuntu18.04系统。”解压,得到的文件夹raw-rootfs就是开发板的Ubuntu-base文件系统,可以在此基础上修改文件系统,解压完成之后的文件如下图所示。
ubuntu 20.04 编译dcmtk
genispan的专栏
09-10 494
检查是否安装cmake。如已安装,则显示正常显示cmake版本号。如显示错误,则需要安装cmake。
Ubuntu 18.04上安装Nginx的方法
rubys007的博客
09-07 996
Nginx 是世界上最流行的 Web 服务器之一,负责托管互联网上一些最大和最高流量的网站。在大多数情况下,它比 Apache 更节约资源,并且可以用作 Web 服务器或反向代理。在本指南中,您将学习如何在 Ubuntu 18.04 服务器上安装 Nginx,以及重要的 Nginx 文件和目录。
ubuntu升级python版本
牛奔的博客
09-09 592
ubuntu升级python版本 # 更新包列表 sudo apt update # 安装 Python 所需的软件包 sudo apt install software-properties-common # 添加 Python PPA(以 Python 3.12 为例) sudo add-apt-repository ppa:deadsnakes/ppa sudo apt update ...
Ubuntu22.04安装nginx
itxuchuanlong的博客
09-10 335
或者,在浏览器中输入你的服务器IP地址,如果看到Nginx的欢迎页面,说明Nginx已经成功安装并运行。curl IP地址 # 能看见返回的前端代码就是正确的。
Ubuntu20.04 Docker中换apt源实录 (安装vim过慢解决方案)
不撸先疯。
09-10 381
从debian12开始,软件源的配置文件都变更为了为 DEB822 格式,路径变更为 /etc/apt/sources.list.d/debian.sources。得知os-release下,debian版本号为12,Debian修改软件镜像源为清华镜像源。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值