OSSEC是一款开源的多平台的入侵检测系统(HIDS),可以运行于Windows,Linux,OpenBSD/FreeBSD,以及MacOS等操作系统中。OSSEC HIDS的主要功能有日志分析、完整性检查、rootkit检测、基于时间的警报和主动响应。 本文将介绍如何在Ubuntu上安装OSSEC。 OSSEC安装 OSSEC可在下图的网站上下载,该文件可以作为服务器或客户端,具体为何种模式可在安装过程中选择。
现在提取命令*.tar.gz。 #tar -xf ossec-hids-2.8.1.tar.gz
运行./install.sh,会出现以下选项:
服务器端安装 首先,我们要选择安装语言:
服务器是它与代理/客户端(agents/client)信息交换的关键部分。 2.代理(Agent) 在这种模式下,OSSEC将会向服务器发送事件,日志等信息。 3.本地模式(Local mode) 本地模式的安装与服务器/客户端模式(server/agent)的安装相似。 4.混合(Hybrid) 这种模式下,会有一台主机同时担任服务器(server)和客户端/代理(client/agent)功能。 服务器模式 1.在下面的窗口中,选择需要的安装模式:
4.运行文件监控(syscheck):
5.运行rootcheck,检测rootkits:
6.运行active response:
7.发送auth.log,syslog,dpkg和apache log:
8.完成上面的设置后,按回车键继续:
9.完成之前,它会提示你一些信息,如下图:
10.按回车键完成安装:
安装OSSEC客户端 现在我们开始客户端安装。 1.选择代理模式(agent):
2.选择安装路径(默认为/var/ossec):
3.IP地址设置(192.168.10):
4.运行syscheck:
5.启用rootcheck功能:
6.启用active response功能:
8.按回车键完成安装:
结语 本文已经介绍了,如何在乌班图上,安装开源的HIDS软件:OSSEC。后面,还会陆续更新相关技能。 另外,OSSEC的客户端还需要服务器生成的密码;然后我们就可以检测啦!(图片来源Linoxide) |
