环境centos7
官网
Linux下载地址
https://github.com/ossec/ossechids/archive/2.9.4.tar.gz
wget https://github.com/ossec/ossec-hids/archive/2.9.4.tar.gz
tar -xzvf 2.9.4.tar.gz
cd ossec-hids-2.9.4
./install.sh
选择语言 cn
确认安装好了gcc编译器按enter
选择单机模式,local
root@vultr:~/ossec-hids-2.9.4# ./install.sh
** Para instalação em português, escolha [br].
** 要使用中文进行安装, 请选择 [cn].
** Fur eine deutsche Installation wohlen Sie [de].
** Για εγκατάσταση στα Ελληνικά, επιλέξτε [el].
** For installation in English, choose [en].
** Para instalar en Español , eliga [es].
** Pour une installation en français, choisissez [fr]
** A Magyar nyelvű telepítéshez válassza [hu].
** Per l’installazione in Italiano, scegli [it].
** 日本語でインストールします.選択して下さい.[jp].
** Voor installatie in het Nederlands, kies [nl].
** Aby instalować w języku Polskim, wybierz [pl].
** Для инструкций по установке на русском ,введите [ru].
** Za instalaciju na srpskom, izaberi [sr].
** Türkçe kurulum için seçin [tr].
(en/br/cn/de/el/es/fr/hu/it/jp/nl/pl/ru/sr/tr) [en]: cn
OSSEC HIDS v2.9.4 安装脚本 - http://www.ossec.net
您将开始 OSSEC HIDS 的安装.
请确认在您的机器上已经正确安装了 C 编译器.
系统类型: Linux vultr.guest 3.13.0-149-generic
用户: root
主机: vultr.guest
– 按 ENTER 继续或 Ctrl-C 退出. –
1- 您希望哪一种安装 (server, agent, local or help)? local
- 选择了 Local 类型的安装.
2- 正在初始化安装环境.
请选择 OSSEC HIDS 的安装路径 [/var/ossec]:
- OSSEC HIDS 将安装在 /var/ossec .
3- 正在配置 OSSEC HIDS.
3.1- 您希望收到e-mail告警吗? (y/n) [y]: n
— Email告警没有启用 .
3.2- 您希望运行系统完整性检测模块吗? (y/n) [y]: y
系统完整性检测模块将被部署.
3.3- 您希望运行 rootkit检测吗? (y/n) [y]: y
rootkit检测将被部署.
strings: ‘/usr/bin/mail’: No such file
3.4- 关联响应允许您在分析已接收事件的基础上执行一个
已定义的命令.
例如,你可以阻止某个IP地址的访问或禁止某个用户的访问权限.
更多的信息,您可以访问:
http://www.ossec.net/en/manual.html#active-response
- 您希望开启联动(active response)功能吗? (y/n) [y]:
接下来,全部选择默认
系统完整性检测模块将被部署.
3.3- 您希望运行 rootkit检测吗? (y/n) [y]: y
- rootkit检测将被部署.
strings: ‘/usr/bin/mail’: No such file
3.4- 关联响应允许您在分析已接收事件的基础上执行一个
已定义的命令.
例如,你可以阻止某个IP地址的访问或禁止某个用户的访问权限.
更多的信息,您可以访问:
http://www.ossec.net/en/manual.html#active-response
您希望开启联动(active response)功能吗? (y/n) [y]: y
- 关联响应已开启
默认情况下, 我们开启了主机拒绝和防火墙拒绝两种响应.
第一种情况将添加一个主机到 /etc/hosts.deny.
第二种情况将在iptables(linux)或ipfilter(Solaris,
FreeBSD 或 NetBSD)中拒绝该主机的访问.
该功能可以用以阻止 SSHD 暴力攻击, 端口扫描和其他
一些形式的攻击. 同样你也可以将他们添加到其他地方,
例如将他们添加为 snort 的事件.
您希望开启防火墙联动(firewall-drop)功能吗? (y/n) [y]: y
- 防火墙联动(firewall-drop)当事件级别 >= 6 时被启动
联动功能默认的白名单是:
- 108.61.10.10
您希望添加更多的IP到白名单吗? (y/n)? [n]: n
3.6- 设置配置文件以分析一下日志:
– /var/log/auth.log
– /var/log/syslog
– /var/log/dpkg.log
– /var/log/snort/alert (snort-full file)
– /var/log/nginx/access.log (apache log)
– /var/log/nginx/error.log (apache log)
-如果你希望监控其他文件, 只需要在配置文件ossec.conf中
添加新的一项.
任何关于配置的疑问您都可以在 http://www.ossec.net 找到答案.
— 按 ENTER 以继续 —
然后安装成功
Ossec常用文件
报警日志
/var/ossec/logs/alerts
里面的alerts.log
就是检测到的入侵行为的告警日志
动态响应报警日志
/var/ossec/logs/active-responses.log
核心配置文件为:
/root/ossec-hids-2.9.4/etc/ossec.conf
文件结构为:
[root@vultr logs]# cat /root/ossec-hids-2.9.4/etc/ossec.conf
<email_notification>yes</email_notification>
<email_to>daniel.cid@example.com</email_to>
<smtp_server>smtp.example.com.</smtp_server>
<email_from>ossecm@ossec.example.com.</email_from>
<!-- <email_reply_to>replyto@ossec.example.com.</email_reply_to> -->
<picviz_output>no</picviz_output>
#这些就是各类规则
<include>rules_config.xml</include>
<include>sshd_rules.xml</include>
<include>syslog_rules.xml</include>
<include>pix_rules.xml</include>
<include>named_rules.xml</include>
<include>pure-ftpd_rules.xml</include>
<include>proftpd_rules.xml</include>
<include>web_rules.xml</include>
<include>web_appsec_rules.xml</inc
最低0.47元/天 解锁文章
9505
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
