|TAG标签|网站地图设为首页】【加入收藏

免费教程_免费网赚教程_破解版软件-寂涯网络学习基地

热门标签

当前位置: 主页 > 系统综合 > 系统安全 > 用ossec建立一个入侵检测系统

用ossec建立一个入侵检测系统

时间:2012-01-02 21:58来源:未知 整理:寂涯网络 点击:

上期为大家介绍了在较多Linux环境下构建自己的审计系统,这期带来的将是Windows
与 Linux 并存环境下如何构建自己的入侵检测系统(IDS)。
现在的 IDS 系统可以分为基于网络数据包分析的系统(NIDS)和基于主机分析的系统
(HIDS)两种基本方式。简单地讲,NIDS 主要是在网络上对数据包进行劫取并根据特定的
规则来匹配相应的数据包,并做出一些报警等系列反应,典型代表有 snort;而 HIDS 则主
要基于主机,在主机上对网络连接、敏感进程行为以及系统审计日志进行智能分析和判断,
通过相应的规则来匹配攻击特征并做出一些报警等系列反应。IDS除了报警还可以有一些主
动响应的动作,这样演变出IPS。今天我们要构建的是HIDS,因为我们需要更加深入的了解
机器的安全状况,而不仅仅是在网络上抓包匹配特征码。
OSSEC是一款开源的基于主机的入侵检测系统,包括了日志分析、文件/注册表完整性检
测、安全策略监控、rootkit检测、实时报警、动态响应等功能。它的最大优势在于它支持
很多操作系统,包括Linux、 MacOS、 Solaris、 HP-UX、 AIX和Windows。

方案分析

HIDS 需要在被监控的机器上安装 Agent 来达到一些目的,比如检测文件完整性、分析
日志等。
在单台机器上,我们只需直接安装ossec成 local类型就可以了,有点类似我们的单机
版杀毒软件;在机器比较多的情况下,我们还可以做成C/S 型,即让被监控的机器装Agent,
然后将一些信息收集上来发到Server端,然后在Server端统一分析、响应,这个有点类似
于我们的网络版杀毒软件。这就是我们的基本方案,而OSSEC也支持这种部署方式。

方案实施

环境准备
服务器环境:Red Hat Enterprise Linux Server release 5.6(64位)
IP:192.168.14.207
从 ossec 官方网站http://www.ossec.net下载 ossec源代码至/usr/local/src目录
Linux客户端环境:Red Hat Enterprise Linux Server release 5.5(32位)
IP:192.168.14.167
同上,只需下载ossec 源代码到/usr/local/src目录
Windows客户端环境:Windows 2003 R2
IP:192.168.14.162
从 ossec 官方网站http://www.ossec.net下载 ossec的 windows Agent版本到桌面

安装服务端
ossec 服务端的搭建过程比较简单,但是它不能安装在 Windows 系统上,Windows 系统
只有 Agent,所以我们需要将服务端安装在Linux机器上。下载ossec源码包回来后进行解
压,解压后有个INSTALL文件,是教你如何安装的。以下为安装ossec的操作 
cd /usr/local/src/
wget http://www.ossec.net/files/ossec-hids-2.5.1.tar.gz
tar xzvf ossec-hids-2.5.1.tar.gz 
cd ossec-hids-2.5.1
./install.sh  

直接执行./install.sh就可以安装了,照着提示一步步操作:
第一步是选择语言,提供了中文支持,所以可以选 cn,当然如果你的 ssh 客户端显示
乱码则需要调整或者选en也可以,以下为相应提示及选择项(去掉了中间空白行):
OSSEC HIDS v2.5.1 安装脚本 - http://www.ossec.net
  您将开始 OSSEC HIDS 的安装.
 请确认在您的机器上已经正确安装了 C 编译器.
 如果您有任何疑问或建议,请给 dcid@ossec.net (或 daniel.cid@gmail.com) 发邮
件.
   - 系统类型: Linux as5664bitsec 2.6.18-238.el5
  - 用户: root
  - 主机: as5664bitsec
  - 按 ENTER 继续或 Ctrl-C 退出. --
1- 您希望哪一种安装 (server, agent, local or help)? server
  - 选择了 Server 类型的安装.
2- 正在初始化安装环境.
 - 请选择 OSSEC HIDS 的安装路径 [/var/ossec]: 
    - OSSEC HIDS 将安装在  /var/ossec .
3- 正在配置 OSSEC HIDS.
  3.1- 您希望收到e-mail告警吗? (y/n) [y]: y
   - 请输入您的 e-mail 地址? testa@gmail.com
   - 我们找到您的 SMTP 服务器为: alt2.gmail-smtp-in.l.google.com.
   - 您希望使用它吗? (y/n) [y]: y
   --- 使用 SMTP 服务器:  alt2.gmail-smtp-in.l.google.com.
3.2- 您希望运行系统完整性检测模块吗? (y/n) [y]: y
   - 系统完整性检测模块将被部署.

本页地址 http://www.jybase.net/xitonganquan/20120102738.html

百度搜索更多

谷歌搜索更多

顶一下
(0)
0%
踩一下
(0)
0%
------分隔线----------------------------

评价:
昵称: 验证码:点击我更换图片

快速评论

    推荐内容
    赞助商
    热点内容
    赞助商
    

    关于本站免责声明视频更新google百度地图视频地图RRS订阅

    如有什么问题请在本站留言,或发邮件到 hxt167#foxmail.com

    Copyright © 2010-2012 寂涯网络 版权所有