一、安装前说明
OSSEC是一款开源的多平台基于主机的入侵检测系统,可以简称为HIDS。它具备日志分析,文件完整性检查,策略监控, rootkit 检测,实时报警以及联动响应等功能。它支持多种操作系统:Linux、Windows、 MacOS 、 Solaris 、HP-UX、 AIX 。属于企业安全之利器。OSSEC默认具有一个ossec-logtest工具用于测试OSSEC的泛化及告警规则。该工具一般默认安装于目录 /var/ossec 中。
- S/C运行模式,类似于 zabbix
- 支持Alert logging、 firewall logging and event (archiving) logging
- server开通udp514(rsyslog),udp1514(ossec-remoted)端口监听,client会把实时状态数据发给server
- 集成fail2ban,iptables过滤,错误日志分析
环境:
本文使用两台CentOS 7.8 x64虚拟机,一台为 Server 端,一台为Agent端
Server IP:192.168.168.100
Server Hostname:Test
Agent IP:192.168.168.103
Agent Hostname:Test1
关闭 SElinux !
防火墙设置: CentOS 7.8默认使用firewall,本文中禁用firewall,使用 iptables 。Server端开启OSSEC通信的udp 514、1514端口;开启 apache (WEB界面)端口,默认是 TCP 80端口,本文中修改为8080。
本文中不使用MySQL数据库存储。
Server服务端操作
二、安装及配置OSSEC-Server服务端
1.基础环境
## 初始化环境安装,安装编译库,以及数据库支持库
rpm -ivh
yum -y install gcc make pcre2 pcre2-devel libevent-devel zlib-devel sendmail sqlite-devel openssl-devel postgresql-devel
2.安装OSSEC-Server
## 下载
cd /data/tools
wget -O ossec-hids-3.6.0.tar.gz ## 解压并安装
tar xf ossec-hids-3.6.0.tar.gz
cd ossec-hids-3.6.0/
./install.sh 执行install.sh脚本,根据提示的选项填写
①您希望选择哪一种语言安装 (en/br/cn/de/el/es/fr/hu/it/jp/nl/pl/ru/sr/tr)? en (默认为 en)
②确认机器上已经正确安装了 C 编译器,及显示系统、用户、主机名等信息。按ENTER键继续。
③您希望哪一种安装 (server, Agent , local or help)? server
④正在初始化安装环境. – 请选择 OSSEC HIDS 的安装路径 [/var/ossec]:
(本文中使用默认安装路径/var/ossec)
⑤配置 OSSEC HIDS.
## 您希望收到 e-mail 告警吗? (y/n) [y]: y //输入接收告警的e-mail地址及STMP地址。
## 您希望运行系统完整性检测模块吗? (y/n) [y]: y
## 您希望运行 rootkit检测吗? (y/n) [y]: y
## 关联响应允许您在分析已接收事件的基础上执行一个已定义的命令。例如,你可以阻止某个IP地址的访问或禁止某个用户的访问权限。您希望开启联动(active response)功能吗? (y/n) [y]: y
默认情况下, 我们开启了主机拒绝和防火墙拒绝两种响应。
第一种情况将添加一个主机到 /etc/hosts.deny.第二种情况将在iptables(linux)或ipfilter(Solaris, FreeBSD 或 NetBSD)中拒绝该主机的访问。该功能可以用以阻止 SSHD 暴力攻击, 端口扫描和其他一些形式的攻击。同样你也可以将他们添加到其他地方,例如将他们添加为 snort 的事件。
您希望开启防火墙联动(firewall-drop)功能吗? (y/n) [y]: y (显示联动功能默认的白名单,为系统配置的DNS地址)
## 您希望添加更多的IP到白名单吗? (y/n)? [n]: y
## 请输入IP (用空格进行分隔),添加服务端及客户端的IP,后续也可在配置文件中修改
## 您希望接收远程机器 syslog 吗 (port 514 udp)? (y/n) [y]: y
## 设置配置文件以分析日志。如果你希望监控其他文件, 只需要在配置文件ossec.conf中添加新的一项。按 “ ENTER ” 继续 。
## 编译安装完成,省略编译输出。
启动 OSSEC HIDS:/var/ossec/bin/ossec-control start
停止 OSSEC HIDS:/var/ossec/bin/ossec-control stop
OSSEC系统配置文件:/var/ossec/etc/ossec.conf
## 请按”ENTER” 结束安装 (下面可能有更多信息)
## 为使代理能够连接服务器端, 您需要将每个代理添加到服务器。运行’manage_agents’来添加或删除代理
注:启动ossec服务端必须先添加一个客户端,否则直接启动服务端是会失败的。如下图所示
3.服务器上添加客户端,创建客户端Key
执行如下命令:
/var/ossec/bin/manage_agents ①添加客户端,填入客户端主机名、IP等信息。
②创建客户端Key
## 生成的Key,用于后面客户端的连接,需要记录保存。
MDAxIFRlc3QxIDE5Mi4xNjguMTY4LjEwMyAwNmMwMGM2YTRiMzI3MjQwMWE4NDhhODZmZGMxY2IyYjZlNjQ3OWE0NTk2MmYzY2MzMjhmZWZlMGI3OTc5MmMx 注:配置完成后,若OSSEC服务已启动,则需重新启动OSSEC服务才能使更改生效。
4.启动ossec服务端
/var/ossec/bin/ossec-control start 
至此,服务端安装完毕。接下来在本地 测试环境 中的另一台 虚拟机 安装客户端,与安装服务端类似同样需要安装ossec。
Agent客户端操作
三、安装及配置ossec-agent客户端
1.基础环境安装(安装编译库)
rpm -ivh
yum -y install gcc make pcre2 pcre2-devel libevent-devel zlib-devel
2.下载并安装
cd /data/tools
wget -O ossec-hids-3.6.0.tar.gz
tar xf ossec-hids-3.6.0.tar.gz
cd ossec-hids-3.6.0/
./install.sh 执行install.sh脚本,根据提示的选项填写
①您希望选择哪一种语言安装 (en/br/cn/de/el/es/fr/hu/it/jp/nl/pl/ru/sr/tr)? en (默认为 en)
②确认机器上已经正确安装了 C 编译器,显示系统、用户、主机名等信息。按ENTER键继续。
③您希望哪一种安装 (server, agent, local or help)? agent
④初始化安装环境. – 请选择 OSSEC HIDS 的安装路径 [/var/ossec]:
(本文中使用默认安装路径/var/ossec)
⑤配置 OSSEC HIDS.
## 请输入 OSSEC HIDS 服务器的IP地址或主机名: 192.168.168.100
## 您希望运行系统完整性检测模块吗? (y/n) [y]: y
## 您希望运行 rootkit检测吗? (y/n) [y]: y
## 您希望开启联动(active response)功能吗? (y/n) [y]: y
## 设置配置文件以分析日志。如果你希望监控其他文件, 只需要在配置文件ossec.conf中添加新的一项。按“ENTER”继续 。
## 编译安装完成,省略编译输出。
启动 OSSEC HIDS:/var/ossec/bin/ossec-control start
停止 OSSEC HIDS:/var/ossec/bin/ossec-control stop
OSSEC系统配置文件:/var/ossec/etc/ossec.conf
## 请按“ENTER”结束安装 (下面可能有更多信息)
## 必须将该代理添加到服务器端以使他们能够相互通信。这样做了以后,您可以运行’manage_agents’工具导入服务器端产生的认证密匙。使用命令:/var/ossec/bin/manage_agents
3.配置Server与Agent客户端通信
Server和Agent之间建立通信需要通过认证,在Server端为Agent生成通讯密钥并导入Agent后才能完成信任关系,以及Server端需要开放UDP 1514通讯端口,接收Agent上报的信息。
## 创建sender空文件,否则会出现如下图所示的错误
touch /var/ossec/queue/rids/sender 
/var/ossec/bin/manage_agents ## 执行I选项,输入key
4.启动客户端
/var/ossec/bin/ossec-control start 
Server服务端操作
5.检查Agent是否可以通信
/var/ossec/bin/list_agents -c 
备注: 可以通过 /usr/local/ossec/bin/list_agents -h 查询更多Agent的状态信息
Server服务端操作
四、为ossec-server安装web界面(ossec-wui)
1.安装WEB环境(apache\php)
## 安装EPEL
rpm -Uvh
## 安装PHP安装源,CentOS7系统yum默认安装的版本是5.4.x,版本低
rpm -Uvh
## 安装APACHE及PHP
yum -y install httpd php56w php56w-fpm php56w-cli php56w-common php56w-gd php56w-mbstring php56w-mcrypt php56w-bcmath php56w-opcache php56w-pdo
2.下载ossec-wui并解压配置
cd /data/tools
wget -O ossec-wui-0.9.zip
unzip ossec-wui-0.9.zip
mv ossec-wui-0.9 /var/www/html/ossec
cd /var/www/html/ossec/
./setup.sh ## 自定义设置用户名及密码。本文中设置的用户及密码均为 admin 。
3.配置APACHE
vi /etc/httpd/conf/httpd.conf ## 在配置文件末尾新增以下设定 (注:若配置是在 httpd 服务启动后修改的,需重启httpd服务。)
<Directory "/var/www/html/ossec">
Options FollowSymLinks
AllowOverride None
Order deny,allow
allow from all
Options -MultiViews
AuthName "OSSEC Access"
AuthType Basic
AuthUser File /var/www/html/ossec/.htpasswd
Require valid-user
</Directory>
4.配置PHP时区
vi /etc/php.ini
//第889行
date.timezone = "Asia/Shanghai"
5.启动apache及php并配置开机启动
## apache
## 启动
systemctl start httpd
## 开机启动
systemctl enable httpd ## php
## 启动
systemctl start php-fpm
## 开机启动
systemctl enable php-fpm
6.访问测试
httpd默认使用80端口。本文中做了修改,使用8080端口(端口的修改本文中不做赘述)。
## 浏览器地址输入URL:,
## 输入上述设置的管理账号:admin,密码:admin
五、Ossec服务管理相关命令
## 启动:
/var/ossec/bin/ossec-control start
或
/etc/init.d/ossec start ## 关闭:
/var/ossec/bin/ossec-control stop
或
/etc/init.d/ossec stop ## 重启:
/var/ossec/bin/ossec-control restart
或
/etc/init.d/ossec restart ## 查看状态:
/var/ossec/bin/ossec-control status
或
/etc/init.d/ossec status ## Server端创建Agent客户端KEY:
/var/ossec/bin/manage_agents ## Agent客户端加入Server端:
/var/ossec/bin/manage_agents ## Server上检查Agent是否可以通信:
/var/ossec/bin/list_agents -c ## Server上查看agent客户端列表:
/var/ossec/bin/list_agents -a ## Server上查看agent控制端(即服务端)状态:
/var/ossec/bin/agent_control -lc ## 设置开机启动:(默认已配置开机启动)
chkconfig --level 2345 ossec on
六、OSSEC服务端配置
1.系统配置
修改配置文件:/var/ossec/etc/ossec.conf
1.1 Email 配置
<ossec_config>
<global>
<email_notification>yes</email_notification>
<email_to>ossecmoni@example.com</email_to> ### 收件人
<smtp_server>smtp.example.com</smtp_server> ### SMTP Server
<email_from>ossecm@example.com</email_from> ### 寄件人
<!-- <email_reply_to>replyto@ossec.example.com.</email_reply_to> -->
</global>
1.2 告警轮循配置
<syscheck>
<!-- Frequency that syscheck is executed -- default every 2 hours -->
<frequency>600</frequency> ### 每600秒一次轮循
1.3 新增程序部署路径配置
<!-- Directories to check (perform all possible verifications) -->
<directories check_all="yes">/etc,/usr/bin,/usr/sbin</directories>
<directories check_all="yes">/bin,/sbin,/boot</directories>
<directories check_all="yes">/var/www/html/ossec/</directories> ### 程序部署路径
1.4 新增IP白名单配置
## 由于服务端安装过程中设置了支持接受远程机器的syslog,所以需要对ossec.conf文件中的syslog部分进行配置,修改ossec.conf文件,将需要收集的网段全添加进去。
<global>
<white_list> 127.0.0.1 </white_list>
<white_list>::1</white_list>
<white_list>192.168.168.100</white_list> ### 单IP
<white_list>192.168.168.101, 192.168.168.102</white_list> ### 多IP
<white_list>192.168.168.0/24</white_list> ### CIDR区段IP
</global>
1.5 调整告警配置
< alert s>
<log_alert_level>3</log_alert_level>
<email_alert_level>5</email_alert_level>
### Email告警包含低阶层错误以上(如, missed passwords, denied action, etc.)
</alerts>
2.系统配置
修改配置文件:/var/ossec/rules/local_rules.xml
## 新增以下内容于 <group name=”local,syslog,”> 内
<rule id="550" level="7" overwrite="yes"> ### 档案修改
<category>ossec</category>
<decoded_as>syscheck_integrity_changed</decoded_as>
<description>Integrity checksum changed.</description>
<group>syscheck,</group>
</rule>
<rule id="553" level="7" overwrite="yes"> ### 档案删除
<category>ossec</category>
<decoded_as>syscheck_deleted</decoded_as>
<description>File deleted. Unable to retrieve checksum.</description>
<group>syscheck,</group>
</rule>
<rule id="554" level="7" overwrite="yes"> ### 档案新增
<category>ossec</category>
<decoded_as>syscheck_new_entry</decoded_as>
<description>File added to the system.</description>
<group>syscheck,</group>
</rule> 
