对我来说OSSEC最大的优势在于它几乎可以运行在任何一种 *** 作系统上,比如Windows, Linux, OpenBSD/FreeBSD, 以及 MacOS。不过运行在Windows上的客户端无法实现root-kit检测,而其他系统上的客户端都没有问题。OSSEC的手册上说OSSEC目前还不支持Windows系统下得root-kit检测
二.安装
1. 安装所需软件:Basically, for Unix systems, ossec just requires gcc and glibc.
下载软件:从http://www.ossec.net 上下载最新的OSSEC
源代码包;
2. 安装服务器:
1). 选择一台服务器作为OSSEC服务器
2). 将OSSEC源代码包拷贝到该服务器并解压
3). 进入OSSEC目录并运行install.sh开始安装(如果想让ossec支持mysql,则在安装前先需入src目录下执行make setdb命令,如果想让ossec支持更多代理,在src目录下执行make setmaxagents命令,ossec目前最大只支持2048个客户端,并且大多数系统对最大文件数有限制,我们可以通过ulimit -n 2048来增加系统支持的最大文件数(或者sysctl -w kern.maxfiles=2048
4). 在提示输入安装类型时,输入server
5). 在提示输入安装路径时,输入/opt/ossec
6). 在提示是否希望接收E-MAIL通告时, 接受默认值, 并在接下来的提示中依次输入用来接收OSSEC 通告的E-MAIL地址, 邮件服务器的名字或IP地址,我这里是选择localhost作为mta,然后通过设置/etc/alias别名列表来将邮件转发到我指定的邮箱
7). 其它提示接受默认值
3. 安装代理:
1). 将OSSEC源代码包拷贝到某台欲在其上安装OSSEC代理的linux服务器上并解压
2). 进入OSSEC目录并运行install.sh开始安装
3). 在提示输入安装类型时,输入agent
4). 在提示输入安装路径时,输入/opt/ossec
5). 在提示输入服务器IP地址时输入我们的OSSEC服务器的IP地
址
6). 其它提示接受默认值
在欲在其上安装OSSEC代理的所有linux服务器执行1) – 6)
三.配置
1. 在OSSEC服务器上运行 /opt/ossec/bin/manage-agents
2. 在某个OSSEC代理上运行 /opt/ossec/bin/manage-agents
3. 在OSSEC服务器的主菜单下输入A/a 增加一个代理, 为该代理输入一个容易区别的名字(比如其hostname), 并输入其IP 地址
4. 在主菜单下输入E/e 为该代理生成密钥
5. 在该OSSEC代理的主菜单下输入I/i 准备导入OSSEC服务器生成的密钥
6. 将OSSEC服务器生成的密钥复制到OSSEC代理
7. 按Q/q键退出OSSEC服务器和代理, 并重新启动OSSEC服务器和代理(分别在OSSEC服务器和代理所在的服务器上执行/etc/init.d/ossec restart)
在欲在其上配置OSSEC代理的所有linux服务器执行2) – 7)
OSSEC安装
8.ossec安装完后,默认会在$directory生成如下几个目录:active-response,bin,etc,logs,queue, rules,stats,tmp,var,主要配置文件为/$directory/etc/ossec.conf,$directory为你ossec安装目录,每个选项的详细说明请见:http://www.ossec.net/en/manual.html#installorder。规则文件目录为 /$directory/rules
四.FAQ
Question 1:
如何配置ossec在主动响应中不阻止特定ip
A:将特定ip列表加入etc/ossec.conf中的<white-list>ips</white-list>
如我们不想让192.168.10.0/24网段的所有主机触发ossec主动响应的命令,编辑/var/ossec/etc/ossec.conf,按如下方式填写即可
<global>
<white-list>127.0.0.1</white-list>
<white-list>192.168.10.0/24</white-list>
</global>
Question 2
如何使ossec支持mysql
A:要使用ossec支持mysql,首先编译时我们需进入src目录下执行:make setdb命令,然后cd ..返回上一级目录,再执行package/install.sh按上面所列方法安装
Question 3
我smtp server设置正确,但为何我收不到ossec主机所发的邮件,在邮件日志中老显示连接超时。
A: ossec原则上不要求在本地架设mta服务器,但我们知道,为了防止垃圾,基本上所有邮件服务器都关闭了open relay,然我们的ossec并没有为smtp认证提供username与password设置选项,这就使我们在选择其它smtp 服务器时无法指定用户名与密码,因此我的做法是设置ossec发信给root@localhost,然后在本地邮件服务器别名列表中,将所有转发给 root的信件再转发给我所希望的email地址。
Question 4
如何设置ossec同时去监检多个日志文件
A:有时,我们同时有多个日志文件希望被监测,但又不想一个个输入ossec.conf配置文中。其实我可以利用ossec的posix规则表达示来达到你的目的。如假如你有如下几个日志文件:
/var/log/host1/xx.log,yy.log,zz.log
/var/log/host2/xx.log,aa.log
/var/log/host3/zz.log,abc.log
/var/log/hostn/bb.log,xyz.log
我们可以这样设置
<localfile>
<log_format>syslog</log_format>
<localtion>/var/log/host*/*.log</location>
</localfile>
Question 5
我采用的是S/C安装方式,并且巳按正确方法在服务器上注册的客户机,但ossec服务器与客户无法还是无法通信
A:针对这个问题,a.首先我们要确定安装顺序是否正确,一般我们是先安装server,然后是agent,并且在服务器给agent生成密匙,再在agent上导入密匙,注意在server上生成密匙时agent的ip地址千万不能写错,否则无法通信。
b.使用netstat -ntlup查看本机是否开启了514,1514端口接受agent连接,如果端口还没有打开,先/etc/init.d/syslog restart再查看。请随时查阅/var/ossec/logs/ossec.conf日志文件中的是志。
c.如果你启了防火墙,请一定要将514,1514的数据放行,否则agent无法与server正常通信。
以上是我们个人使用ossec来一点实际经验,欢迎大家继续加精
Question 6
如何检测apache日志
我们可以这样设置
<localfile>
<log_format>apache</log_format>
<localtion>你的apache日志目录</location>
</localfile>
Question 7
我公司是动态ip上网,经常被布署有ossec入侵检测系统的外网维护服务器将其加入/etc/hosts.deny与iptables中
针对这个问题,我有专门写一个脚本,你可以参照它针对自己的网络环境修改,目前我的有了它之后一切运行良好。
升级OSSEC V2.8.3 版本 导致的故障,发现无法正常启动……发现无法正常启动
进入到安装包src目录,执行 make setdb,因只安装了MySQL,所以只支持MySQL。
再进入到解压包目录,重新执行./install.sh此时,已可以正常启动!
基于Linux的中小企业应用解决方案网络结构
1.硬件配置
各服务器:Intel x86系列的服务器。如:HP、Dell的微机服务器。如信息量访问较小的服务器,可用性能稳定的PC或与其他系统软件共用服务器。
终端:PC(奔腾级或更高)。
路由器可由Linux服务器替代。
2.系统软件配置
根据信息的功能和任务,系统软件、应用软件及开发环境工具如下:
(1) *** 作系统
数据库服务器:TurboLinux Enterprise Server v6.0简体中文版;
Web及其他应用服务器:TurboLinux Enterprise Server v6.0 简体中文版;
各类访问终端:TurboLinux Workstation v6.0 简体中文版。
(2)数据库
在数据库选型中,可根据企业用户的实际情况。当该企业数据信息繁多、数量大、查询频繁时,可选择Oracle大型数据库:Oracle 8I的Linux版本。如果该企业信息量不大,并发查询量又不大,可选择MySQL数据库的Linux版本。
(3)Internet/Intranet基本网络服务
以下各项网络服务均基于TurboLinux平台:
*Apache作为Web服务器;
*Sendmail作为mail服务器;
*Squid作为代理服务器;
*OpenLdap作为用户验证服务器;
*BIND-DNS name server(bind)作为DNS服务器;
*GateD daemon for 2.0.x kernels(gated)作为路由服务器。
(4) 终端访问工具
各个用户的PC终端通过TurboLinux平台上的NetScape浏览器访问数据信息。
(5)开发环境
*基于TurboLinux平台的PHP脚本编程环境;
*基于TurboLinux平台的JBuilder编程环境;
*C/C++及TurboLinux平台的gcc编译器。
系统分析
经分析考虑,该企业的内部信息系统应建立在Intranet的架构基础上,集中存储、分类、管理企业的各种信息。具体实现如下:
1.统一的网络平台:在遵循安全、稳定、开放、灵活等各项系统原则基础上,建立一套基于Linux平台的系统环境基础,实现整个内部网络系统与Internet的连接。
2.在整体框架下,实现各项应用服务:企业内部信息Web访问;数据库服务等。
3.针对企业的实际需求,在Linux系统平台上建立各信息应用子系统,例如:
*生产信息管理子系统:及时采集生产部门的生产基本运行情况;原料准备和消耗状况、生产成本核算结果等。
*库存管理子系统:包括货物的入库管理、出库管理、在库管理等基本内容。
*销售管理子系统:收集各地的销售反馈信息,汇集企业销售产品的数据信息,为销售人员提供在线销售支持等。
*OA子系统:建立内部信息交流和管理平台,实现人事管理、会议管理、设备管理等。
该系统方案中,实现了系统低成本、高性能、高稳定性的特点。系统中几乎所有的系统和应用软件都是免费的,并且这些软件的升级也是免费的,易于今后的维护和升级。企业用户不必为系统软件、应用服务软件支付大笔费用,从而减少了用户的建网费用。经过优化组合的系统软件,能够满足用户的实际需要,实现企业网络的高效运行。
http://www.365tech.net/nix_Solutions/10672
Linux企业网络与专业网站构建
Linux服务器的安装
首先在分区的时候不要只图简单把所有的空间都留给根分区,应该把不同的部分放在不同的分区。强烈的建议您把"/var"和"/tmp"放在不同的分区,如果您的服务器有较多的用户访问,这几乎是您所必须做的。另外最好把"/var"和"/usr"放在不同的分区,这样可以避免由于日志或用户的原因是您的硬盘被占满或直接导致您的服务器性能降低。对分区的最后一点警告就是如果您要提供一种或多种服务,一定要把这个服务有关的东西放在单独一个分区,例如:您如果要建一台WWW服务器,您在分区时候一定要留一个单独的分区(例如:"/www"),将来您可以用chroot提高这种服务的安全性。
另外一个重要的问题是安装时软件包的选择。我们用Redhat作为例子,出于安全和性能的考虑,您必须选择"Select individual package"单选框,这样您就可以进行软件包的选择。有些软件是您不必安装的,有些软件是安装后必须卸载的,有些是安装后必须安装的。我们下面给出清单:
http://www.ibm.com/developerworks/cn/linux/security/l-ossec/part1/index.html
Linux系统构建企业网络的各种服务器,其中包括:web服器,mail服务器,ftp服务器,与 samba文件系统、webmin服务器以及企业域名(DNS)服务器。上面这些服务器许多都包含了平台,可以方便的安装.
欢迎分享,转载请注明来源:内存溢出
微信扫一扫
支付宝扫一扫
评论列表(0条)