3.3- 您希望运行 rootkit检测吗? (y/n) [y]: y
- rootkit检测将被部署.
3.4- 关联响应允许您在分析已接收事件的基础上执行一个
已定义的命令.
例如,你可以阻止某个 IP 地址的访问或禁止某个用户的访问权限.
更多的信息,您可以访问:
http://www.ossec.net/en/manual.html#active-response
- 您希望开启联动(active response)功能吗? (y/n) [y]: y
- 关联响应已开启
- 默认情况下, 我们开启了主机拒绝和防火墙拒绝两种响应.
第一种情况将添加一个主机到 /etc/hosts.deny.
第二种情况将在iptables(linux)或 ipfilter(Solaris,
FreeBSD 或 NetBSD)中拒绝该主机的访问.
- 该功能可以用以阻止 SSHD 暴力攻击, 端口扫描和其他
一些形式的攻击. 同样你也可以将他们添加到其他地方,
例如将他们添加为 snort 的事件.
- 您希望开启防火墙联动(firewall-drop)功能吗? (y/n) [y]: n
- 防火墙联动(firewall-drop)被关闭.
- 联动功能默认的白名单是:
- 202.96.128.86
- 您希望添加更多的IP 到白名单吗? (y/n)? [n]: y
- 请输入 IP (用空格进行分隔): 192.168.70.26 192.168.14.156 10.10.33.37
3.5- 您希望接收远程机器syslog吗 (port 514 udp)? (y/n) [y]: n
--- 远程机器syslog将不被接收.
3.6- 设置配置文件以分析一下日志:
-- /var/log/messages
-- /var/log/secure
-- /var/log/maillog
-如果你希望监控其他文件, 只需要在配置文件ossec.conf中
添加新的一项.
任何关于配置的疑问您都可以在 http://www.ossec.net 找到答案.
--- 按 ENTER 以继续 ---
中间按了加车之后是一堆信息,编译ossec,就不贴了
- 系统类型是 Redhat Linux.
- 修改启动脚本使 OSSEC HIDS 在系统启动时自动运行
- 已正确完成系统配置.
- 要启动 OSSEC HIDS:
/var/ossec/bin/ossec-control start
- 要停止 OSSEC HIDS:
/var/ossec/bin/ossec-control stop
- 要查看或修改系统配置,请编辑 /var/ossec/etc/ossec.conf
( http://www.jybase.net/en/mailing_lists.html ).
- 为使代理能够联接服务器端, 您需要将每个代理添加到服务器.
允许'manage_agents'来添加活删除代理:
/var/ossec/bin/manage_agents
在安装 ossec 过程中会创建一个ossec账号,如果linux将/etc/shadow文件锁定了则
会有影响,下面的步骤没法进行。我们先把服务端运行起来,执行
/var/ossec/bin/ossec-control start后会输出:
[root@as5664bitsec ossec-hids-2.5.1]# /var/ossec/bin/ossec-control start
Starting OSSEC HIDS v2.5.1 (by Trend Micro Inc.)...
2011/06/11 17:40:49 ossec-testrule: INFO: Reading local decoder file.
Started ossec-maild...
Started ossec-execd...
Started ossec-analysisd...
Started ossec-logcollector...
Started ossec-remoted...
Started ossec-syscheckd...
Started ossec-monitord...
Completed.
[root@as5664bitsec ossec-hids-2.5.1]#
这其中都是 ossec 的模块,一看就知道其作用,比如 maild 用来发邮件的,analysisd
用来分析日志的,logcollector用来读取日志,remoted用来接收远程日志等。
服务端需要接收客户端的数据,所以需要开放端口等待客户端来连接,默认有个 1514
的 udp端口开启,这点要注意,防火墙也需放行。我们检查一下看有没有开启1514端口:
[root@as5664bitsec ~]# netstat -nlpu |grep 1514
没有输出,表明存在问题。既然有问题,就需要解决,我的经验就是通过分析其日志信
息/var/ossec/logs/ossec.log来找原因,我们看到如下信息:
2011/06/11 17:46:27 ossec-remoted(1402): ERROR: Authentication key file |