OSSEC中文使用手册

OSSEC中文使用手册

 

请到如下位置下载全文

http://down.51cto.com/data/253143

 

注：该手册是本人为了阅读方便而翻译的，其中可能有不少错误。有任何疑问可以参考原文。

http://www.ossec.net/doc/

· Manual
o Installation
o Syscheck
o Rootcheck
o Agents
o Log monitoring/analysis
o Rules and Decoders
o Output and Alert options
o Active Response

OSSEC是一个开源的***检测系统，它可以执行LOG分析，完整性检查，windows注册表监控，rootkit检测，实时报警及动态响影。它可以运行在大多数的操作系统上，包括Linux,OpenBSD,FreeBSD,Mac,Solaris and Windows.等。

OSSEC安装
OSSEC HIDS 主程序和代理安装
安装OSSEC HIDS 很简单，只需要很少的几步就可完成整个安装。首先你要明白你要选择的安装类型（主程序、代理，本地主机）你还要知道安装顺序（总是会先安装主程序）。
 如果你熟悉LINUX，你只需要下载OSSEC HIDS的最新板本，解压后运行 “./install.sh” 脚本。
1. 下载最新板本并验证它的校验和。
# wget http://www.ossec.net/files/ossec-hids-latest.tar.gz
# wget http://www.ossec.net/files/ossec-hids-latest_sum.txt
# cat ossec-hids-latest_sum.txt
MD5 (ossec-hids-latest.tar.gz) = XXXXXXX
SHA1 (ossec-hids-latest.tar.gz) = YYYYYYYY
# md5 ossec-hids-latest.tar.gz
MD5 (ossec-hids-latest.tar.gz) = XXXXXXX
# sha1 ossec-hids-latest.tar.gz
SHA1 (ossec-hids-latest.tar.gz) = YYYYYYYY

注意：在部分系统MD5,shal,wget 命令或许不可用，你可以用md5sum,shalsum,lynx 分别替换它们。
2. 解压ossec-hids-*.tar.gz, 并进入解压后的目录，运行”./install.sh”脚本，安装向导会带领你完成这个安装。
# tar -zxvf ossec-hids-*.tar.gz (or gunzip -d; tar -xvf)
# cd ossec-hids-*
# ./install.sh
3. 如果在服务器和代理之间有防火墙，要打开UDP端口1514（本地安装不需要这么做）
4. 启动OSSEC HIDS
# /var/ossec/bin/ossec-control start

无代理监控
 无代理监控允许运行完整性检查（未来可以监控日志）它不需要在被监控系统上安装代理，（包括routers,firewalls,switches,and even Linux/BSD systems）就可以执行完整性检查（校验和改变报警）还可以进行文件比较并显示改变了什么。
无代理配置选项
 Agentless
 Frequency
 Host
 State
 Arguments
在服务器端启用无代理监控
 # /var/ossec/bin/ossec-control enable agentless
 为你想要访问的主机提供SSH认证。例如Cisco 设备（PIX  routers,etc）, 您需要提供一个额外的参数启用密码。在这个例子中，我添加了一个linux主机（example.net）和一个IPX防火墙(pix.fw.local)。
# /var/ossec/agentless/register_host.sh add root@example.net mypass1
  *Host root@example.netl added.
# /var/ossec/agentless/register_host.sh add pix@pix.fw.local pixpass enablepass
  *Host pix@pix.fw.local added.

# /var/ossec/agentless/register_host.sh list
  *Available hosts:
pix@pix.fw.local
root@example.net
如果你要使用公钥认证而不是密码，你需要提供密码NOPASS并创建公钥。
 # sudo -u ossec ssh-keygen
在/var/ossec/.ssh下公钥会被创建。而后将公钥用SCP考贝到远端主机。这是你不需要密码连接就可以工作。
配置说明
首先你要添加你要监控的系统，并配置OSSEC监控它们。默认情况下我们有四个无代理类型（很快我们计划增加更多的类型）。
· ssh_integrity_check_bsd
· ssh_integrity_check_linux