对我来说OSSEC最大的优势在于它几乎可以运行在任何一种 *** 作系统上,比如Windows, Linux, OpenBSD/FreeBSD, 以及 MacOS。不过运行在Windows上的客户端无法实现root-kit检测,而其他系统上的客户端都没有问题。OSSEC的手册上说OSSEC目前还不支持Windows系统下得root-kit检测
二.安装
1. 安装所需软件:Basically, for Unix systems, ossec just requires gcc and glibc.
下载软件:从http://www.ossec.net 上下载最新的OSSEC
源代码包;
2. 安装服务器:
1). 选择一台服务器作为OSSEC服务器
2). 将OSSEC源代码包拷贝到该服务器并解压
3). 进入OSSEC目录并运行install.sh开始安装(如果想让ossec支持mysql,则在安装前先需入src目录下执行make setdb命令,如果想让ossec支持更多代理,在src目录下执行make setmaxagents命令,ossec目前最大只支持2048个客户端,并且大多数系统对最大文件数有限制,我们可以通过ulimit -n 2048来增加系统支持的最大文件数(或者sysctl -w kern.maxfiles=2048
4). 在提示输入安装类型时,输入server
5). 在提示输入安装路径时,输入/opt/ossec
6). 在提示是否希望接收E-MAIL通告时, 接受默认值, 并在接下来的提示中依次输入用来接收OSSEC 通告的E-MAIL地址, 邮件服务器的名字或IP地址,我这里是选择localhost作为mta,然后通过设置/etc/alias别名列表来将邮件转发到我指定的邮箱
7). 其它提示接受默认值
3. 安装代理:
1). 将OSSEC源代码包拷贝到某台欲在其上安装OSSEC代理的linux服务器上并解压
2). 进入OSSEC目录并运行install.sh开始安装
3). 在提示输入安装类型时,输入agent
4). 在提示输入安装路径时,输入/opt/ossec
5). 在提示输入服务器IP地址时输入我们的OSSEC服务器的IP地
址
6). 其它提示接受默认值
在欲在其上安装OSSEC代理的所有linux服务器执行1) – 6)
三.配置
1. 在OSSEC服务器上运行 /opt/ossec/bin/manage-agents
2. 在某个OSSEC代理上运行 /opt/ossec/bin/manage-agents
3. 在OSSEC服务器的主菜单下输入A/a 增加一个代理, 为该代理输入一个容易区别的名字(比如其hostname), 并输入其IP 地址
4. 在主菜单下输入E/e 为该代理生成密钥
5. 在该OSSEC代理的主菜单下输入I/i 准备导入OSSEC服务器生成的密钥
6. 将OSSEC服务器生成的密钥复制到OSSEC代理
7. 按Q/q键退出OSSEC服务器和代理, 并重新启动OSSEC服务器和代理(分别在OSSEC服务器和代理所在的服务器上执行/etc/init.d/ossec restart)
在欲在其上配置OSSEC代理的所有linux服务器执行2) – 7)
OSSEC安装
8.ossec安装完后,默认会在$directory生成如下几个目录:active-response,bin,etc,logs,queue, rules,stats,tmp,var,主要配置文件为/$directory/etc/ossec.conf,$directory为你ossec安装目录,每个选项的详细说明请见:http://www.ossec.net/en/manual.html#installorder。规则文件目录为 /$directory/rules
四.FAQ
Question 1:
如何配置ossec在主动响应中不阻止特定ip
A:将特定ip列表加入etc/ossec.conf中的<white-list>ips</white-list>
如我们不想让192.168.10.0/24网段的所有主机触发ossec主动响应的命令,编辑/var/ossec/etc/ossec.conf,按如下方式填写即可
<global>
<white-list>127.0.0.1</white-list>
<white-list>192.168.10.0/24</white-list>
</global>
Question 2
如何使ossec支持mysql
A:要使用ossec支持mysql,首先编译时我们需进入src目录下执行:make setdb命令,然后cd ..返回上一级目录,再执行package/install.sh按上面所列方法安装
Question 3
我smtp server设置正确,但为何我收不到ossec主机所发的邮件,在邮件日志中老显示连接超时。
A: ossec原则上不要求在本地架设mta服务器,但我们知道,为了防止垃圾,基本上所有邮件服务器都关闭了open relay,然我们的ossec并没有为smtp认证提供username与password设置选项,这就使我们在选择其它smtp 服务器时无法指定用户名与密码,因此我的做法是设置ossec发信给root@localhost,然后在本地邮件服务器别名列表中,将所有转发给 root的信件再转发给我所希望的email地址。
Question 4
如何设置ossec同时去监检多个日志文件
A:有时,我们同时有多个日志文件希望被监测,但又不想一个个输入ossec.conf配置文中。其实我可以利用ossec的posix规则表达示来达到你的目的。如假如你有如下几个日志文件:
/var/log/host1/xx.log,yy.log,zz.log
/var/log/host2/xx.log,aa.log
/var/log/host3/zz.log,abc.log
/var/log/hostn/bb.log,xyz.log
我们可以这样设置
<localfile>
<log_format>syslog</log_format>
<localtion>/var/log/host*/*.log</location>
</localfile>
Question 5
我采用的是S/C安装方式,并且巳按正确方法在服务器上注册的客户机,但ossec服务器与客户无法还是无法通信
A:针对这个问题,a.首先我们要确定安装顺序是否正确,一般我们是先安装server,然后是agent,并且在服务器给agent生成密匙,再在agent上导入密匙,注意在server上生成密匙时agent的ip地址千万不能写错,否则无法通信。
b.使用netstat -ntlup查看本机是否开启了514,1514端口接受agent连接,如果端口还没有打开,先/etc/init.d/syslog restart再查看。请随时查阅/var/ossec/logs/ossec.conf日志文件中的是志。
c.如果你启了防火墙,请一定要将514,1514的数据放行,否则agent无法与server正常通信。
以上是我们个人使用ossec来一点实际经验,欢迎大家继续加精
Question 6
如何检测apache日志
我们可以这样设置
<localfile>
<log_format>apache</log_format>
<localtion>你的apache日志目录</location>
</localfile>
Question 7
我公司是动态ip上网,经常被布署有ossec入侵检测系统的外网维护服务器将其加入/etc/hosts.deny与iptables中
针对这个问题,我有专门写一个脚本,你可以参照它针对自己的网络环境修改,目前我的有了它之后一切运行良好。
1、配置ossec server:<br><br>ossec自身支持syslog功能,在/var/ossec/etc/ossec.conf里可以配置,另外还可以配置允许访问的网段地址,首先配置本机支持syslog,把ossec-remoted开启。<br><syslog_output><br><server>192.168.1.14</server><br><port>514</port><br></syslog_output><br><br>然后配置syslog允许连接到的ip地址网段,如下所示:<br><remote><br> <connection>syslog</connection><br><allowed-ips>192.168.1.1/24</allowed-ips><br> </remote><br><br>然后重启ossec,这个时候可以tail -f /var/ossec/log/ossec.log查看配置文件
有无报错,如报错则无法启动ossec服务,如图已经启动。<br><br>2、配置syslog client:<br><br>客户端配置不需要很复杂,只需要配置基本的syslog策略即可,syslog本身是
udp协议
,可能会出现丢日志的现象,但实际使用上暂未发现,配置如下:<br>auth,authpriv.*@192.168.1.14<br><br>,这句的意思是允许把
安全日志
传输到远程ossec sever,做安全暂时只关心安全日志。<br>3、接入syslog:<br>通过syslog将日志传输到ossec server上,通过/var/ossec/logs/ossec.log,检查到ossec已经允许接受来自192.168.1.*的syslog配置。<br>2013/12/25 9:11:52 ossec-remoted: Remote syslog allowed from:'192.168.1.1/24'<br><br>4、触发报警:<br>要报警需要触发到ossec的规则,比如ssh登录异常,登录异常需要3次来触发,首先配置ossec的规则为:<br> <alerts><br> <log_alert_level>10</log_alert_level><br> <email_alert_level>7</email_alert_level><br> </alerts>
是什么用户?如果不是administrator你可以尝试用administrator帐号登陆,然后修改密码!(前提是administrator密码为空)
如果搞不定,可以从dos下拷贝出c盘中的数据(如果分区是ntfs格式,需要支持ntfs的启动盘),重装系统!(也有前提:ntfs分区不能设置权限,否则你的文件可能永远也无法访问)
========================
如果不能解决:留下你的qq
========================
还有一个方法,
你试试:
如果你安装的是Windows XP *** 作系统,不慎忘记了系统登录用户“*****”的密码,你可以NET命令来解决问题:
Windows XP中提供了“net user”命令,该命令可以添加、修改用户账户信息,其语法格式为:
net user [UserName [Password *] [options]] [/domain]
net user [UserName {Password *} /add [options] [/domain]
net user [UserName [/delete] [/domain]]
我们现在以恢复本地用户“*****”口令为例,来说明解决忘记登录密码的步骤:
1、重新启动计算机,在启动画面出现后马上按下F8键,选择“带命令行的安全模式”。
2、运行过程结束时,系统列出了系统超级用户“administrator”和本地用户“*****”的选择菜单,鼠标单击“administrator”,进入命令行模式。
3、键入命令:“net user ***** 123456
/add”,强制将“*****”用户的口令更改为“123456”。若想在此添加一新用户(如:用户名为abcdef,口令为123456)的话,请键入“net
user abcdef 123456 /add”,添加后可用“net localgroup administrators abcdef
/add”命令将用户提升为系统管理组“administrators”的用户,并使其具有超级权限。
4、重新启动计算机,选择正常模式下运行,就可以用更改后的口令“123456”登录“*****”用户了
========================
破解XP登陆密码 一,先浅谈一下密码学基础知识:
密码,作为一门技术,自从有了战争,就有了密码。然而作为一门科学,只是近几十年的事。计算机的出现,为密码学的发展提供了空间。首先,我要说明的是密码与口令的区别:在现代社会中,大多数人都接触过密码。然而,在这些所谓的密码当中,有一部分并不是真正意义上的密码,有些最多只能称其为口令。口令,好比一道关卡。理想的口令是,只有你通过口令验证,才能进一步 *** 作。然而,如果有人能够绕过口令验证,就可以获得其想要拥有的所有信息。比如,在windows登陆时的密码,它实际上就是一个口令。而密码,则是要对所要保护的信息进行重新编码的,其它用户在没有掌握密码的情况下,是不能获得任何对自己有用的信息的。那么,密码究竟是什么呢?密码,包括加密与解密两个过程。这两个过程实际上对应两个变换。为了叙述的方便,我们记明文为m,加密后的密文为c,加密变换记为E(k1,m)(其中k1为加密密钥),解密变换记为D(k2,c)(其中k2为解密密钥),A、B为两个通信实体。
假设A要与B进行秘密通信。其通信过程实际如下:
A将明文m用密钥k对其加密形成c(c=E(k,m))后,然后将c传给B,B通过密钥k对c进行解密得到原文m(m=D(k,c))。在A、B间实际上存在两个通信通道,一个是传送c的公开通道,另一个是传送密钥k的秘密通道。对于上述传送过程,实际上是一种对称式密码系统。对于非对称密码系统暂不讨论。下面,我们举一个非常简单的密码系统,以对密码作一个了解:我们构造一种加密方法,其密钥k是一个数字,假设为5,对下段文字进行加密:you
can use the following macros to access standard Help buttons create
new buttons, or modify button
functionality.首先,我们先滤去上段文字中的非英文字符,然后以5个字符为一组,并对每组字符进行逆序排列,形成密文如下:acuoytesunlofehniwolrcamgaotsosseccdantsehdratubplcsnotetaecubwensnottdomorubyfifnottitcnuilanoyt当然,这种加密方法不难破译。另外,在实现这种加密算法时,考虑到信息的还原,是不可以滤去一些字符的,而且对于计算机而言,其字符也决不是26个英文字母,加密密钥也不能是一个数字,那样很容易破译。因此,可采用如下替代方法。1、
基本元素集可以是一个n比特的二进制数集,而不再是一个由26个英文字母组成的字符集;2、
加密密钥可以为任意字符,只要在加密时将各字符转换成对应的加密数序列,然后循环使用这些数字对明文加密。3、
可采用多次加密,以增加破译难度,但不可连续使用相同的其本元素及加密数序列。
二,接着我们谈谈windows NT的域安全从整体上把握windows密码是怎么回事情!
windows
NT的域安全设置可分为帐户策略,本地策略、公钥策略、事件日志、受限制的组、系统服务、注册表、文件系统、公钥策略和IP安全策略。
帐户策略是由用户名+密码组成,我们利用帐户策略设置密码策略、帐户锁定和Kerberos(只针对域)策略。
本地策略:本地策略所设置的值只对本地计算机起作用,它包括审核策略、授予用户权限,设置各种安全机制。
事件日志:主要是对域(包括本地)的的各种事件进行记录。为应用程序日志、系统日志和安全已增配置大小、访问方式和保留时间等参数。
受限制的组:管理内置组的成员资格。一般内置组都有预定义功能,利用受限制组可以更改这些预定义的功能。
系统服务:为运行在计算机上的服务配置安全性和启动设置。
注册表:配置注册密钥的安全性,在windows
200中,注册表是一个集中式层次结构数据库,它存储windows所需要的必要信息,用于为用户、程序、硬件设备配置生活费统。
文件系统:指定文件路径配置安全性。
公钥策略:配置加密的数据恢复代理和信任认证中心证书。证书是软件服务证书可以提供身份鉴定的支持,包括安全的e-mail功能,基于web的身份鉴定和sam身份鉴定。
IP安全性策略:配置IPSec(IP协议安全性)。IPSec是一个工业标准,用于对tcp/ip网络数据流加密以及保护企业内部网内部通讯和跨越internet的VPNS(虚拟专用网络)通讯的安全。
三,具体到问题上来:限于篇幅,一些名词和具体 *** 作,这里不再絮述,本文涉及到的相关文章和名词解释本版块其他文章均有详细解释,请自行查阅!
(一)远程获取
系统管理员帐号administrator密码丢失、无其它可登陆用户帐号、无输入法漏洞等可利用漏洞,无法取得SAM文件、无输入法漏洞。提供IIS服务等,并有若干漏洞。
所需工具:GFI LANguard Network Scanner(或其它同类漏洞扫描软件)
其它:待破解系统处于局域网中。
1、猜解密码
通过网络连到机器
利用IP地址(流光,猜举方式,字典文件存有常见密码)
2、漏洞BUG利用
对于不同的漏洞可以使用不同的方法入侵,进而取得对系统的控制。
A、输入法漏洞
只在中文的Windows 2000SP1前中有。
切换输入法,帮助,输入法入门,工具栏空白处右击,跳转至c:\,右拖文件创建快捷方式,目标处输入c:\winnt\system32\net user
administrator 123双击执行,更改密码,登录。
或者创建新用户,c:\winnt\system32\net user mmm 456 /add。执行。
加入管理员组,c:\winnt\system32\net.exe localgroup administrator mmm /add。
解决办法:删除帮助,打SP1。
B、IIS漏洞
IDQover.exe(利用应用程序缓冲区溢出漏洞,正向连接和反向连接两种方式)SP2以后无此漏洞。入侵成功后,利用返回的SHELL(一般用CMD.exe)使用
TELNET。
查看本机已经启用的端口netstat -na(1023以内占用较多)
NC.exe(反向连接)sp3后无。
C、服务漏洞
D、系统漏洞
3、D.O.S.
4、特洛伊木马:服务木马,一般在前期入侵成功,以种服务的方式,在系统中留后门。
5、邮件病毒
(二)本地用户 即可触摸到计算机!
如果是本地用户的话:一般win-xp系统安装时都会要求添加用户,所以一般情况可登陆的用户有默认的administator和你安装时候添加的用户,其中administator是默认的系统管理员,添加的用户可以是管理员,也可以是普通用户。针对不同情形可考虑以下措施:
1、如果你想获得用户比如juntuan的密码,而安装时系统用户administator没设置密码,那么可在登录界面上,按住Ctrl+Alt键,再按住Del键一次或二次,即可出现经典的登录画面,此时在用户名处键入“administrator”,密码为空进入,然后再修改你的用户的口令即可。当然也可以采取这样的方式:
a、重新启动Windows XP,在启动画面出现后的瞬间,按F8,选择"带命令行的安全模式"运行。
b、运行过程停止时,系统列出了超级用户administrator和本地用户juntuan的选择菜单
,鼠标点击administrator,进入命令行模式。
c、键入命令:"net user juntuan 12345678
/add",强制性将juntuan用户的口令更改为"12345678"。若想在此添加某一用户(如:用户名为abcd,口令为123456)的话,请键入"net
user abcd 123456 /add",添加后可用"net localgroup administrators abcd /ad
d"命令将用户提升为系统管理组administrators用户,具有超级权限。
d、重新启动Windows XP,选择正常模式运行,就可以用更改的口令"12345678" 登录juntuan用户了。
2、如果你想修改用户juntuan的密码,而安装时系统用户administator设置了密码,或者安装时未添加用户,只有系统管理员administator,且设置了密码,这种情况下,如果你的win-xp系统采用的是fat32格式的空间(这种格式下,进入98系统能看见win-xp目录及相关文件),则登陆你的win98(你已经告诉我有的),进入后,找到windows/system32/config目录下的sam文件,进行改名(记住名字哦, *** 作不成功时可以改回),然后启动win-xp,提示安全用户帐号丢失,重启动进入安全模式,同上面1情形下的相关 *** 作。
这种方法因win-xp的版本不同,影响其成功性。如果不能成功,请进入98,将刚才改名的SAM文件改回原名。
3、删除SAM文件,清除Administrator账号密码
Windows 2000所在的Winnt\System32\Config下有个SAM文件(即账号密码数据库文件),它保存了Windows
2000中所有的用户名和密码。当你登录的时候系统就会把你键入的用户名和密码。与SAM文件中的加密数据进行校对,如果两者完全符合,则会顺利进入系统,否则将无法登录,因此我们可以使用删除SAM文件的方法来恢复管理员密码。
用Windows PE、Bart
PE、NTFSDOS等启动,删除SAM文件后重新启动,此时管理员Administrator账号已经没有密码了,这时你可以用Administrator帐户登录系统,不用输入任何密码,进入系统后再重新设置你的管理员账户密码即可。
需要注意的是:
a.这方法不能在Windows XP/2003上使用,如果删除SAM文件,会引起系统崩溃。
b.WindowsNT/2000/XP中对用户账户的安全管理使用了安全账号管理器(Security
AccountManager,SAM)的机制,安全账号管理器对账号的管理是通过安全标识进行的,安全标识在账号创建时就同时创建,一旦账号被删除,安全标识也同时被删除。安全标识是惟一的,即使是相同的用户名,在每次创建时获得的安全标识都是完全不同
的。因此,一旦某个账号被删除,它的安全标识就不再存在了,即使用相同的用户名重建账号,也会被赋予不同的安全标识,不会保留原未的权限。安全账号管理器的具体表现就是%SystemRoot%\system32\config\sam文件。SAM文件是WindowsNT/2000/XP的用户账户数据库,所有用户的登录名及口令等相关信息部会保存在这个文件中。
c.另外,在Windows
XP中,将\WINDOWS\repair\sam文件复制到\WINDOWS\system32\config\目录下覆盖掉原有的文件(如果不放心可以先备份一下原有的SAM文件)Administrator帐号的密码即为空的了
d.如有可能,建议使用其它方法。
优点:使用简单 缺点:破坏安全标识,不能在Windows XP、Windows 2003 使用,如果用EFS加密,加密破坏,数据丢失。
4、猜解密码。能够摸到机器(LC4,本地密码破解,探测SAM数据库)从SAM文件中 查找密码
著名的美国计算机安全公司@Stake出品的Window/Unix密码查找软件LC4/LC5,最新版是LC5
v5.02,可以到其网站下载,地址是:http://www.atstake.com,这是商业软件,未注册有功能限制。这里提供可以注册版LC4。
运行LC4,打开并新建一个任务,然后依次点击“IMPORT->Import from SAM
file”,打开已待破解的SAM文件,此时LC4会自动分析此文件,并显示出文件中的用户名;之后点击“Session->Begin
Audit”,即可开始破解密码。如果密码不是很复杂的话,很短的时间内就会得到结果。 不过,如果密码比较复杂的话,需要时间会很长。
优点:不破坏原系统密码,对于用EFS加密数据很重要。
缺点:速度慢可能需要几天甚至几个年。
5、用密码重设盘设新密码
在没有使用“欢迎屏幕”登录方式的情况下登录到Windows XP后。按下“Ctrl+Alt+Del”组合键,出现“Windows
安全”窗口,点击选项中“更改密码”按钮,出现更改密码窗口(图1)。这个窗口中,将当前用户的密码备份,点击左下角“备份”按钮激活“忘记密码向导”,按照提示创建密码重设盘。
如果在Windows
XP的登录窗口输入了错误的密码,就会d出“登录失败”窗口,如果你的确想不起来自己的密码是什么时,可点击“重设”按钮,启动密码重设向导,通过刚才所创建的密码重设盘,重新设定密码,登陆Windows
XP。
优点:安全,对于用EFS加密数据很重要。
缺点:需要软盘,并且要求在设密码时建立密码重设盘,对于没有软驱的机器就没办法。
6、使用软件修改密码 :Windows.XP.2000.NT.Password.Recovery.Key ,CleanPwd ,The
Offline NT Password Editor ,Winternals Administrators ERD Commander
2002/2003 ,用O&O Bluecon2000强制更改Windows2000本地管理员密码 ,不用修改密码登陆Windows
2000/XP---DreamPackPL PE版 。不过一般需要制作一些软盘或启动盘,对新手来说, *** 作不是很容易,不具有普遍性。
如果还没解决问题,那只有考虑重新安装了。如果是fat32格式,则进入win98,复制重要目录和文件至其他非win-xp系统所在盘后,将win-xp系统所在盘格式化重新安装。如果是ntfs格式,则在98下看不到win-xp系统及文件,如果XP所在盘有非常重要的文档,那可以考虑安装ntfs格式的其他系统(如win2000),然后将xp下的文件拷贝至fat32格式的磁盘,然后可以考虑删除或保留这个系统,重新安装win-xp系统。
======================
参考资料:http://www.323900.com/dvbbs7/dispbbs.asp?boardid=13&id=223
欢迎分享,转载请注明来源:内存溢出
微信扫一扫
支付宝扫一扫
评论列表(0条)