1配置OSSEC服务端
OSSEC是一款开源的基于主机的入侵检测系统,可以简称为HIDS。它具备日志分析,文件完整性检查,策略监控,rootkit检测,实时报警以及联动响应等功能。它支持多种操作系统:Linux、Windows、MacOS、Solaris、HP-UX、AIX。属于企业安全之利器。
上一篇,《企业安全之利器 安装入侵检测系统OSSEC》主要讲了OSSEC在Ubuntu上的安装方法。今天我们接续前缘,学习一下入侵检测系统OSSEC的配置。
OSSEC的难点就在于其配置复杂,但也造就了OSSEC企业安全利器的地位。接下来就要对OSSEC服务器端,客户端进行配置了。
OSSEC服务器端配置
在成功安装后,根据提示我们来到下面界面:
运用manage_agents工具,出现如下界面:
1) Add an agent
2) Extract key for an agent
3) List already added agents
4) Remove an agent
5) Quit
根据需求,输入A,并输入相关信息:
Name of Agent: (ubuntu_machine)
IP address: (192.168.1.11)
ID of agent: (001)
然后,输入L我们就能看到OSSEC已有列表,如图:
然后程序会重新进入到第一次的界面,如下,我们导出刚才添加的那个agent的key,用于后面的客户端连接到服务端:
然后输入回车键就能运行OSSEC服务端了。
2配置OSSEC客户端
配置OSSEC客户端
同理进行OSSEC客户端配置:
其实配置ossec客户端就是把刚才由服务端生成的key,在客户端中导入。
如果确定信息正确,则可以输入“y”确定。
日志和警报装置
CLI命令行界面
OSSEC将日志和警报存储在/var/ossec/logs/ 目录下:
Web界面
上面,我们已经配置了OSSEC的服务端,并且为OSSEC添加了一个客户端,一个非诚简单的环境已经搭建好了。可是目前的环境对于直接分析OSSEC的警报信息还是太麻烦,所以我们要安装第三方的Web界面,用来显示警报信息。
由于我们最终是需要把日志导入到MySQL中进行分析,以及需要通过web程序对报警结果进行展示,我们需要安装MySQL。
1,安装MySQL,运行make setdb:
3安装MySQL,将OSSEC信息集成分析
2,然后cd返回上级目录,进入src目录下执行:make setdb命令:
3,成功安装MySQL数据库后,就要创建一个新的数据库:
4,导入mysql.schema:
5,在ossec.conf中,更改数据库相关设置,目录为:/var/ossec/etc/ossec.conf如下图所示:
6,运行如下命令:
同时,更改/var/ossec目录权限:
然后,在浏览器中键入localhost/ossec即显示如图:
浏览器界面显示
结语
本篇文章主要解析了如何配置OSSEC,并将其信息集成到MySQL数据库上。为了更方便的分析OSSEC的警报信息我们还安装了web界面。
