部署ossec所踩过的坑

最新推荐文章于 2024-06-16 09:35:12 发布
最新推荐文章于 2024-06-16 09:35:12 发布
阅读量1.2k 收藏 3
点赞数 1
文章标签: mysql docker 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_43968507/article/details/103685529
版权

ossec

为了学习入基于主机的侵检测系统的监控策略和监控内容,所以想自己部署一个HIDS来学习学习。在Google上一顿乱搞之后,点进了ossec的官网,看到映入眼帘的这几个大字,当即决定就是它了,出来吧ossec!!!

ossec

部署环境

docker+windowsR2

  • 服务端部署在docker内
  • 客户端部署在windows2008R2中

部署过程

在这里只记录一下部署ossec遇到的坑(以备日后查看),不讲部署的过程,部署过程我参考的:

  1. OSSEC安全监控环境搭建(docker+yum)安装
  2. 全网最详细的最新稳定OSSEC搭建部署(ossec-server(CentOS6.X /
    7.X)和ossec-agent(Windows7 / 8 / 10))(图文详解)
  3. OSSEC文件监控(SYSCHECK)
    教程1中所采用的镜像是docker pull xetusoss/ossec-server,是2.83版本的ossec镜像,我第一次安装也是采用了这个镜像,问题不断,后面换成docker pull atomicorp/ossec-docker,这个镜像的版本是最新的,但是是无法启用数据库。

踩坑

报错的日志信息在删除容器时,我顺便也给删除了(后悔了),只能口述报错了

(1)数据库报错

  1. ossec新旧版本数据库发生了变化,ossec3.0以上的版本比2.8的版本少了一张data表,我用3.0版本提供的数据库表时一直会报错,少一个数据表。此外,我第一次用的是mysql8.0版本,也会报错因为认证方式变了,怕麻烦我又拉取了一个5.7的镜像,这是第一个小坑,接下来的坑才让我痛苦。
    #data表的结构
CREATE TABLE IF NOT EXISTS data
(
id MEDIUMINT UNSIGNED NOT NULL,
server_id SMALLINT UNSIGNED NOT NULL,
user TEXT NOT NULL,
full_log TEXT NOT NULL,
PRIMARY KEY (id, server_id)
);

在这里插入图片描述
2. 当我换成5.7的版本后,当我在mysql容器中创建完数据库,导入完数据表后,把mysql容器提交为新镜像时问题又出现了。当我利用新的镜像创建容器是我新创建的表和数据库竟然没有了。。我一度以为是我提交镜像时除了问题,我又新建库,导入表然后提交为镜像,然而新容器还是啥都没有。
此时我才意识到是mysql容器的原因,Google了一下发现也有人跟我遇到了同样的问题。究其原因竟然是mysql的Dockerfile中把/var/lib/mysql目录给挂载了出来。
解决办法:
Docker之mysql容器数据库更改不生效的解决方法
3. 第二个问题解决后,又出现了新的问题。alert表中的user需要指定一个默认值不然就会报错,但是user是text类型不能设置默认值。这个问题仍未解决让我放弃使用数据库,转而把报警信息转化为json输出(2.9版本以上才可以)。

#sql中给user设置默认值的报错信息
101 - BLOB, TEXT, GEOMETRY or JSON column 'user' can't have a default value

解决办法:
Mysql :: Error:BLOB / TEXT列不能具有默认值

mysql_query("SET @@global.sql_mode='MYSQL40'");

对我却不管用。。。。崩溃

然后我就换成了这个镜像atomicorp/ossec-docker,并放弃了使用mysql数据库(在这个镜像中无法开启mysql数据库服务),转而把日志信息存储成json格式,利用logstash发送给es数据库。
以下是利用ossec-docker镜像所出现的错误及解决办法。

(2)重复计数错误

报错信息如下所示:

2019/12/24 03:47:05 ossec-remoted: WARN: Duplicate error:  global: 0, local: 31, saved global: 0, saved local:3686
2019/12/24 03:47:05 ossec-remoted(1407): ERROR: Duplicated counter for 'eee'.
2019/12/24 03:47:11 ossec-remoted: WARN: Duplicate error:  global: 0, local: 32, saved global: 0, saved local:3686
2019/12/24 03:47:11 ossec-remoted(1407): ERROR: Duplicated counter for 'eee'.
2019/12/24 03:47:15 ossec-remoted: WARN: Duplicate error:  global: 0, local: 33, saved global: 0, saved local:3686
2019/12/24 03:47:15 ossec-remoted(1407): ERROR: Duplicated counter for 'eee'.
2019/12/24 03:47:20 ossec-remoted: WARN: Duplicate error:  global: 0, local: 34, saved global: 0, saved local:3686
2019/12/24 03:47:20 ossec-remoted(1407): ERROR: Duplicated counter for 'eee'.
2019/12/24 03:47:26 ossec-remoted: WARN: Duplicate error:  global: 0, local: 35, saved global: 0, saved local:3686
2019/12/24 03:47:26 ossec-remoted(1407): ERROR: Duplicated counter for 'eee'.
2019/12/24 03:49:16 ossec-remoted: WARN: Duplicate error:  global: 0, local: 36, saved global: 0, saved local:3686
2019/12/24 03:49:16 ossec-remoted(1407): ERROR: Duplicated counter for 'eee'.
2019/12/24 03:49:22 ossec-remoted: WARN: Duplicate error:  global: 0, local: 37, saved global: 0, saved local:3686
2019/12/24 03:49:22 ossec-remoted(1407): ERROR: Duplicated counter for 'eee'.

解决办法:
How to fix Duplicate Counter Error in OSSEC
在服务器端:

  • 执行 /var/ossec/bin/manage_agents
  • 选择 “Extract key for an agent”
  • 把密钥复制下来
  • 关掉ossec服务端

在客户端:

  • 找到 /var/ossec/queue/rids目录
  • 删除rids目录下所有的文件
  • 打开客户端重新输入服务器地址和刚刚拷贝下来的密钥
  • 重新启动客户端

经过以上操作,问题就能解决。

(3)报警日志中的时间戳显示的时间与真实时间不符

这个坑真的是耽误了好一段时间,当时就想不通是什么原因,因为ossec.log中的时间是对的,但是alerts.log内的时间是错误的,一开始以为是邮箱服务器的原因,但是关掉邮箱报警也还是不行,最后发现在ossec /etc文件夹内还有一个localtime文件,ossec用的自己的localtime文件。
解决办法:
替换掉ossec中/etc/localtime

#这是ossec的localtime
$ file localtime 
localtime: timezone data, version 2, 1 gmt time flag, 1 std time flag, no leap seconds, no transition times, 1 abbreviation char
#这是主机的localtime,可以看出他们的区别
$ file /etc/localtime
/etc/localtime: symbolic link to /usr/share/zoneinfo/Asia/Shanghai
#把ossec中的localhost替换掉
$ cp /etc/localtime  ./
$ file localtime
localtime: timezone data, version 2, 3 gmt time flags, 3 std time flags, no leap seconds, 27 transition times, 3 abbreviation chars

替换掉之后重新运行ossec,alerts.log 中的timestamp就会恢复正常。

官方文档:

dota tatata
关注
  • 1
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
OSSEC安全监控环境搭建(docker+yum)安装
weixin_33748818的博客
09-05 911
一、搭建环境 参看文章: ossec官方安装文档 全网最详细的最新稳定OSSEC搭建部署ossec-server(CentOS7.X)和ossec-agent(CentOS7.X))(图文详解) 系统:Centos7 计算机 IP ossec-server 172.16.30.23 ossec-agent 172.16.30.24 安装软件及版本: ossec3.0 ma...
OSSEC与snort的连接实验
可木的专栏
10-27 2437
OSSEC客户端首先要跟服务端建立连接。 OSSEC客户端的配置文件里面要添加       C:\Snort\log\alertfull.ids      snort-full   其中,alertfull.ids是Snort产生的日志文件,好像必须为full模式的日志,fast模式实验没推送成功,同时,日志文件名不能有下划线 '_' ,不然也不能推送。 snort-full是日
推荐项目:一键式部署OSSEC的强大工具——Auto-Enroll
最新发布
gitblog_00071的博客
06-16 550
推荐项目:一键式部署OSSEC的强大工具——Auto-Enroll 项目地址:https://gitcode.com/BinaryDefense/auto-ossec 在复杂的企业安全环境中,实时监控与威胁防御显得尤为重要。今天,我们带来了一款由David Kennedy及其团队Binary Defense Systems打造的开源神器——Auto-Enroll for OSSEC。这是一款旨在简...
ossec启动报ossec-remoted(1206): ERROR: Unable to Bind port错误解决方法
HRay's blog
10-20 1991
今天部署ossec,启动时ossec-remoted一直都无法启动,日志出现如下错误 2017/10/20 16:43:53 ossec-remoted: INFO: Started (pid: 2699). 2017/10/20 16:43:53 getaddrinfo: Name or service not known 2017/10/20 16:43:53 ossec-remoted(1
ossec安装中遇到的问题
MAGDB的博客
09-17 1861
一 ./os_regex/os_regex.h:19:19: 致命错误:pcre2.h:没有那个文件或目录 #include <pcre2.h> ^ 编译中断。 make: *** [os_maild/maild.o] 错误 1 Error 0x5. Building error. Unable to finish the installation. 错误代码 0x5. 编译错误. 不能完成安装. 这个问题是3.6.0才出现的新问题 在/sr
全网最详细的最新稳定OSSEC搭建部署ossec-server(CentOS7.X)和ossec-agent(CentOS7.X))(图文详解)...
weixin_30778805的博客
07-27 335
https://www.cnblogs.com/zlslch/p/8512757.html 转载于:https://www.cnblogs.com/diyunpeng/p/11256781.html
Ossec IDS with Elasticsearch安装部署手册
01-08
OSSEC是一款开源的多平台的入侵检测系统。通过elasticsearch存储数据并使用kibana进行数据的呈现
ossec2.8.1
02-22
OSSEC是一款开源的基于主机的入侵检测系统,可以简称为HIDS。它具备日志分析,文件完整性检查,策略监控,rootkit检测,实时报警以及联动响应等功能。它支持多种操作系统:Linux、Windows、MacOS、Solaris、HP-UX、...
ossec_wui web管理
02-22
3. **网络代理**:ossec支持跨主机的检测,允许在分布式环境中部署并收集远程主机的数据。 4. **警报通知**:当检测到潜在威胁时,ossec会发送警报到指定的邮箱或通过其他方式通知管理员。 5. **可配置规则**:...
ossec-hids-3.6.0 源码
03-28
部署OSSEC时,应考虑以下几个方面: 1. **策略定制**:根据组织的安全需求,定制告警策略和响应规则。 2. **日志审核**:定期审查告警日志,确认是否有未处理的安全事件。 3. **更新维护**:及时更新OSSEC到最新...
ossec-agent-win32-3.6.0
03-28
WINDOWS下配合OSSEC SERVER的agent,安装方便,与Server段联合使用,可以实现多平台的SEIM功能
ossec-hids:OSSEC是基于开源主机的入侵检测系统,它执行日志分析,文件完整性检查,策略监视,rootkit检测,实时警报和主动响应
02-05
OSSEC v3.6.0版权所有(C)2019趋势科技公司。 有关OSSEC的信息 OSSEC是监视和控制系统的完整平台。 它在一个简单,功能强大且开源的解决方案中将HIDS(基于主机的入侵检测),日志监视和SIM / SIEM的所有方面结合在一起。 访问我们的网站以获取最新信息。 最新发行 ossec网站上提供了当前的稳定版本。 可以从以下位置版本: 发行文档可在以下位置获得: 发展历程 开发版本托管在GitHub上,仅是一个简单的git克隆。 屏幕截图 文件完整性监控 攻击检测 帮助支持 加入我们slack,ossec.slack.com:邀请到 在Discord上加入我们:
iptables配置和honeyd配置实验报告
06-05
iptables配置实现内外网防火墙,允许内网访问外网http,https,ftp等服务,禁止外网直接访问内网主机,honeyd在ubuntu下的使用,部署简单的蜜罐系统,实现记录攻击者扫描主机及访问web信息及时间
ossec规则设置,以及常规问题释疑
weixin_34414196的博客
10-10 692
规则 Syscheck是OSSEC内部完整性检测进程的名称。它周期性检查是否有任何配置文件(或者windows注册表)发生改变。 配置文件地址为 [root@logserver etc]# pwd /var/ossec/etc [root@logserver etc]# vim ossec.conf 它的工作方法是:“代理每几个小时扫描一次系统...
OSSEC搭建部署(ossec-server(CentOS7.X)和ossec-agent(CentOS7.X))
weixin_44304678的博客
03-20 9460
OSSEC是一款开源的基于主机的入侵检测系统,可以简称为HIDS。它具备日志分析,文件完整性检查,策略监控,rootkit检测,实时报警以及联动响应等功能。它支持多种操作系统:Linux、Windows、MacOS、Solaris、HP-UX、AIX。属于企业安全之利器。 环境: 两台centos 7虚拟机 服务端:192.168.1.160 客户端:192.168.1.165 第一步: 前提环境准备(在ossec-server端) 关闭selinux,找到SELINUX这一行,修改为disabled [r
Centos7搭建ossec-hids2.8.3入侵检测系统
kadwf123的专栏
08-19 3877
1、故事背景,项目要求三级等保,大家懂的。 2、操作系统版本 [root@ossec01 yum.repos.d]# cat /etc/redhat-release CentOS Linux release 7.6.1810 (Core) 3、安装wget 安装wget(如果有外网的话可以直接使用centos7安装后自带的yum源安装wget,没有外网使用本地安装镜像配置个本地源安装)...
Home Server OSSEC
chengfangang的专栏
09-05 1275
Index. Introduction.Installation.Configuration.Firewall.Add gateway server.Add web server.Download. 27-Mar-2012: initial release. 18-Jan-2013: adjusted for Slackware     Introduction. OSSEC is
解决错误:npm WARN config global `--global`, `--local` are deprecated
young_man2的博客
08-03 936
解决错误,可以解决你的问题!!!
基于主机的入侵检测系统ossec安装部署
weixin_34216036的博客
07-25 1358
2019独角兽企业重金招聘Python工程师标准>>> ...
OSSEC HIDS安装部署
09-09
OSSEC HIDS(Host Intrusion Detection System)是一种用于监测和防御主机的入侵的软件。它可以通过分析日志、检测文件完整性、检测Rootkit等功能来保护主机的安全。 要安装和部署OSSEC HIDS,你可以按照以下步骤进行操作: 1. 下载OSSEC HIDS软件包并解压缩。 2. 进入解压后的目录,并执行安装脚本。 3. 根据提示完成软件的安装过程。 4. 安装完成后,可以使用以下命令启动和停止OSSEC HIDS: - 启动OSSEC HIDS:/var/ossec/bin/ossec-control start - 停止OSSEC HIDS:/var/ossec/bin/ossec-control stop 5. 要查看或修改OSSEC HIDS的配置,可以编辑配置文件/var/ossec/etc/ossec.conf。 6. 部署完成后,你还可以将其他监控项集成到OSSEC HIDS中,以满足自己的需求。 如果在安装和使用OSSEC HIDS的过程中遇到任何问题,你可以访问https://github.com/ossec/ossec-hids 或者使用他们的公共邮件列表https://groups.google.com/forum/#!forum/ossec-list 寻求帮助。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值