开源入侵检测系统OSSEC搭建之一:服务端安装

OSSEC是一款开源的多平台的入侵检测系统,可以运行于Windows, Linux, OpenBSD/FreeBSD,

以及 MacOS等操作系统中。主要功能有日志分析、完整性检查、rootkit检测、基于时间的警报和主动响应。

除了具有入侵检测系统功能外,它还一般被用在SEM/SIM(安全事件管理(SEM: Security Event Management)/

安全信息管理(SIM:SecurityInformation Management))解决方案中。因其强大的日志分析引擎,

ISP(Internet service provider)(网络服务提供商)、大学和数据中心用其监控和分析他们的防火墙、

入侵检测系统、网页服务和验证等产生的日志。

一、环境准备

》OSSEC服务器端:VMware下CentOS7系统

》OSSEC客户端:VMware下KaliLinux 2.0系统

二、工具准备

》安装ossec 安装过程中所需要用到的管理库以及软件等

》下载最新版的ossec即ossec-hids-2.8.3.tar.gz

》下载图形分析工具analogi

三、开始安装

1. 安装管理库及软件 -->mysql服务。

需要注意的是ossec需要用到mysql数据库,而直接yum install mysql的话会报错,原因在于yum安装库里,没有直接可以用的安装包,此时需要用到MariaDB了,MariaDB是MySQL社区开发的分支,也是一个增强型的替代品。

具体安装步骤如下:

然后我们可以通过输入 yum install -y mysql-server mysql mysql-devel 命令将mysql mysql-server mysql-devel都安装好(注意:安装mysql时我们并不是安装了mysql客户端就相当于安装好了mysql数据库了,我们还需要安装mysql-server服务端才行)

此时我们可以通过如下命令,查看刚安装好的mysql-server的版本

[root@supeihuang ~]# rpm -qi mysql-server

mysql数据库的初始化及相关配置

我们在安装完mysql数据库以后,会发现会多出一个mysqld的服务,这个就是咱们的数据库服务,我们通过输入 service mysqld start 命令就可以启动我们的mysql服务。

注意:如果我们是第一次启动mysql服务,mysql服务器首先会进行初始化的配置,如:

我们在使用mysql数据库时,都得首先启动mysqld服务,我们可以 通过  chkconfig --list | grep mysqld 命令来查看mysql服务是不是开机自动启动,如:

我们发现mysqld服务并没有开机自动启动,我们当然可以通过 chkconfig mysqld on 命令来将其设置成开机启动,这样就不用每次都去手动启动了

[root@supeihuang ~]# chkconfig mysqld on
[root@supeihuang ~]# chkconfig --list | grep mysql
mysqld             0:关闭    1:关闭    2:启用    3:启用    4:启用    5:启用    6:关闭

mysql数据库安装完以后只会有一个root管理员账号,但是此时的root账号还并没有为其设置密码,在第一次启动mysql服务时,会进行数据库的一些初始化工作,在输出的一大串信息中,我们看到有这样一行信息 :

/usr/bin/mysqladmin -u root password 'new-password'  // 为root账号设置密码

所以我们可以通过 该命令来给我们的root账号设置密码(注意:这个root账号是mysql的root账号,非Linux的root账号)

此时我们就可以通过 mysql -u root -p 命令来登录我们的mysql数据库了

用 service mysqld stop
mysqld_safe --skip-grant-tables &
输入 mysql-uroot -p 回车进入
>use mysql;
> update user set password=PASSWORD("newpass")where user="root";更改密码为 newpass
> flush privileges; 更新权限
> quit 退出

结果如上所示,Linux系统监听的3306端口号就是我们的mysql数据库!!!!

2. 安装管理库及软件 -->wget gcc make httpd php php-mysql服务

[root@localhost ~]# yum install wget gcc make httpd php php-mysql sendmail

3. 启动httpd、mysql、sendmail服务,详细启动、查看过程请参考Ossec常用命令

1)启动
 # service httpd start
 2)停止
 # service httpd stop

3)重启
  # service httpd restart
 4)查看端口状态
  # netstat -an | grep 80

4. 创建数据库以方便我们下面的安装配置,连接到本机的MySQL

5. 安装ossec服务器端

  》官网下载最新版ossec即ossec-hids-2.8.3.tar.gz并解压

wget https://bintray.com/artifact/download/ossec/ossec-hids/ossec-hids-2.8.3.tar.gz tar zxf ossec-hids-2.8.3.tar.gz cd ossec-hids-2.8.3/

》为了使OSSEC支持MySQL,安装前执行make setdb命令

看到最后一行[Info: Compiled with MySQL support.]的信息时说明可以正常支持MySQL

[root@localhost ossec-hids-2.8.3]# cd src; make setdb;

cd .. Error: PostgreSQL client libraries not installed. Info: Compiled with MySQL support.

》执行install.sh脚本

具体安装的信息如下:

[root@localhost ~]# cd ossec-hids-2.8.3/

[root@localhost ossec-hids-2.8.3]# ll

进入到该目录后执行./install.sh后将开始安装,具体的安装过程如下:

6. 配置ossec服务端

》执行下面命令启用数据库支持

[root@localhost ossec-hids-2.8.3]# /opt/ossec/bin/ossec-control enable database

》导入MySQL表结构到MySQL中

[root@localhost ossec-hids-2.8.3]# mysql -uossec -p ossec < ./src/os_dbd/mysql.schema

》修改部分配置文件的权限

[root@localhost ossec-hids-2.8.3]# chmod u+w /opt/ossec/etc/ossec.conf

》编辑ossec.conf文件,在ossec_config中添加MySQL配置

编辑ossec.conf文件,在ossec_config标签内部添加如下MySQL配置

<database_output>

<hostname>192.168.30.136</hostname>

<username>ossec</username>

<password>ossec</password>

<database>ossec</database>

<type>mysql</type>

</database_output>

》由于服务端安装过程中设置了支持接受远程机器的syslog,所以需要对ossec.conf文件中的

syslog部分进行配置,修改ossec.conf文件,将需要收集的网段全添加进去。(配置后的ossec.conf)

<remote> <connection>syslog</connection> <allowed-ips>192.168.0.0/16</allowed-ips> </remote>

7.添加ossec客户端并导出Key

    [root@localhost ~]# /opt/ossec/ mc bin/manage_agents

导出的Key值:

MDAxIGFnZW50MSAxOTIuMTY4LjMwLjEzOCBmN2YzNTg0Yzk5Yjk5NGVkYjI4NGE3MWQ3MzYxNzA4ZWI5NzcwMTU2NzgwOTAyM2MwYTIyMDQ4NTk0YTRhODg1

至此,OSSEC服务端已经安装结束并且导出了客户端的Key,但是不安装客户端的情况下直接启动服务端会报错,

开源入侵检测系统OSSEC搭建之二:客户端安装

二、安装客户端

# cd  ossec-hids-*

# ./install.sh

三、配置客户端

配置ossec客户端就是把刚才由服务端生成的key,在客户端中导入

root@kali2:~/ossec-hids-2.8.3# /opt/ossec/bin/manage_agents

启动客户端

root@kali2:~/ossec-hids-2.8.3# /opt/ossec/bin/ossec-control start

开源入侵检测系统OSSEC搭建之三:Web界面安装

注意:以下操作需在OSSEC服务端进行设置

一、下载analogi,存放于/var/www/html/下并赋予权限

[root@localhost ~]# wget https://github.com/ECSC/analogi/archive/master.zip
[root@localhost ~]# unzip master.zip[root@localhost ~]# mv analogi-master/ /var/www/html/analogi[root@localhost ~]# cd /var/www/html/[root@localhost html]# chown -R apache.apache analogi/[root@localhost html]# cd analogi/[root@localhost analogi]# cp db_ossec.php.new db_ossec.php

二、编辑db_ossec.php文件,修改MySQL的配置信息

define ('DB_USER_O', 'ossec');
define ('DB_PASSWORD_O', 'ossec');
define ('DB_HOST_O', '127.0.0.1');
define ('DB_NAME_O', 'ossec');VI

三、修改 apache 配置,增加虚拟目录

[root@localhost analogi]# vim /etc/httpd/conf.d/analogi.conf
添加如下内容:

Alias /analogi /var/www/html/analogi

<Directory /var/www/html/analogi>

Order deny,allow

Deny from all

Allow from 192.168.0.0/16

</Directory>

然后重新启动Apache

[root@localhost analogi]# systemctl restart httpd

此时访问:/可以查看到检测状态

OSSEC安装与搭建相关推荐

  1. ossec支持mysql数据库_开源入侵检测工具ossec安装配置(HIDS)

    ossec主要功能有日志分析.完整性检查.rookit检测.基于时间的警报和主动响应. ///服务端安装 1.yum install wget gcc make httpd php php-mysql ...

  2. linux搭建ca服务器搭建,linux下安装EJBCA 搭建私有CA服务器

    linux下安装EJBCA 搭建私有CA服务器 EJBCA是一个全功能的JAVA的CA系统软件,我们可以用此搭建私有CA服务器: 一:首先我的测试环境: 1.  linux mint18.3 62位: ...

  3. node.js 下载安装及gitbook环境安装、搭建

    最近需要gitbook看文档,于是各种百度,各种安装,很多都是无法正常安装完成的,比较纠结啊 最后,终于发现一个好用的,现分享一下地址(也是给自己做个记录): 1.node.js下载地址: http: ...

  4. webRTC+coturn穿透服务器的安装与搭建

    webRTC+coturn穿透服务器的安装与搭建 系统环境:ubuntu-16.04-desktop-i386 1.首先安装信令服务器,以ProjectRTC为例; sudo apt-get inst ...

  5. 1-3.Win10系统利用Pycharm社区版安装Django搭建一个简单Python Web项目的步骤之三

    在1-1.Win10系统利用Pycharm社区版安装Django搭建一个简单Python Web项目的步骤之一 基础上进行如下操作: 所有路由不能全部都在myDjango下的urls.py路由文件中, ...

  6. 零基础,快速安装dedeCMS 搭建网站 - 总结大全

    零基础,快速安装dedeCMS 搭建网站 - 总结大全 dedeCMS,又称为织梦CMS 快速安装dedeCMS官方模板,极速搭建内容管理网站,零基础也能分分钟搞定. 安装流程: 准备工作: 下载wa ...

  7. phonegap安装 环境搭建与配置详解(3.4 完整版 提供下载地址)

    phonegap安装 环境搭建与配置详解(3.4 完整版 提供下载地址) 原文连接:http://blog.csdn.net/aaawqqq/article/details/19755179 phon ...

  8. Gitlab在线安装、离线安装、搭建、使用等详细介绍,不能再详细了……

    Gitlab在线安装.离线安装.搭建.使用等详细介绍,不能再详细了-- 1.下载安装 1.1 下载 1.2安装 1.2.1 在线安装 1. 安装依赖包 2. 设置 SSH 开机自启动并启动 SSH 服 ...

  9. 在Docker安装Calibre-web搭建网上书城

    在Docker安装Calibre-web搭建网上书城-华为云平台 一.环境准备 1.1移除老版本Docker 1.2安装yum-utils 1.3 添加repo 1.4 安装docker-engine ...

最新文章

  1. 完全理解 Python 迭代对象、迭代器、生成器(转)
  2. 深圳启动全国首届人工智能大赛!536万奖金!这座城市对人才的投入从不吝啬...
  3. Python重装时记录所有库 生成requirement 使用requirements.txt
  4. 二十三、oracle pl/sql分类三 包
  5. attempted relative import beyond top-level package
  6. 交叉编译arm-none-linux-gnueabi-gcc: No such file or directory
  7. rdcl 报表设置不分页
  8. 我们为什么要做数据分析?
  9. 安装好hadoop集群后,报错如下n org.apache.hadoop.ipc.RemoteException(java.io.IOException): File /data/hadoop-roo
  10. Hibernate(三) - hibernate 表操作-多对多配置
  11. 设计师灵感交流社区|给你的作品一个舞台
  12. 微课|中学生可以这样学Python(例4.3):百钱买百鸡
  13. 开发自测,到底该从哪里做起?
  14. worldwind系列教程
  15. 如何解决sql server 存储过程在查询分析器快,但程序调用存储过程执行慢的问题?
  16. 图书排行:计算机书籍每周销量排行榜
  17. Android获取横竖屏状态及监听
  18. 家用NAS有什么用?充分挖掘你的NAS功能
  19. 计算机房要保持清洁 卫生,国家机房数据安全管理制度
  20. qq邮箱服务器连接错误代码,qq邮箱错误代码103打不开是怎么回事

热门文章

  1. 梅花时间起卦小程序(基于Java基础)
  2. CSS 伪元素 counter-increment的多种用法
  3. 统信UOS卸载php7.2.24,安装php7.4.27 ;卸载再安装为PHP 7.2.34
  4. Swift 类和结构体
  5. 值得收藏!编写干净的 Python 代码的 5 个技巧
  6. Android翻页效果原理实现之引入折线
  7. 可变参数模板 Variadic Templates
  8. cocos2dx 3.x 屏幕截图的两种方法及其优缺点
  9. 请打印出昨天的此时此刻
  10. pythonDay09-Linux系统ubuntu命令的学习