OSSEC是一款开源的多平台的入侵检测系统(HIDS),可以运行于Windows,Linux,OpenBSD/FreeBSD,以及MacOS等操作系统中。OSSEC HIDS的主要功能有日志分析、完整性检查、rootkit检测、基于时间的警报和主动响应。
本文将介绍如何在Ubuntu上安装OSSEC。
OSSEC安装
OSSEC可在下图的网站上下载,该文件可以作为服务器或客户端,具体为何种模式可在安装过程中选择。
现在提取命令*.tar.gz。
#tar -xf ossec-hids-2.8.1.tar.gz
运行./install.sh,会出现以下选项:
服务器端安装
首先,我们要选择安装语言:
随后出现的是系统详情;按回车(Enter)键继续:
然后选择安装模式
1.服务器(Server)
服务器是它与代理/客户端(agents/client)信息交换的关键部分。
2.代理(Agent)
在这种模式下,OSSEC将会向服务器发送事件,日志等信息。
3.本地模式(Local mode)
本地模式的安装与服务器/客户端模式(server/agent)的安装相似。
4.混合(Hybrid)
这种模式下,会有一台主机同时担任服务器(server)和客户端/代理(client/agent)功能。
#p#
服务器模式
1.在下面的窗口中,选择需要的安装模式:
2.选择安装目录。其默认目录为/var/ossec
3.设置邮箱和SMTP(Simple Mail Transfer Protocol)即简单邮件传输协议:
4.运行文件监控(syscheck):
5.运行rootcheck,检测rootkits:
6.运行active response:
7.发送auth.log,syslog,dpkg和apache log:
8.完成上面的设置后,按回车键继续:
9.完成之前,它会提示你一些信息,如下图:
10.按回车键完成安装:
#p#
安装OSSEC客户端
现在我们开始客户端安装。
1.选择代理模式(agent):
2.选择安装路径(默认为/var/ossec):
3.IP地址设置(192.168.10):
4.运行syscheck:
5.启用rootcheck功能:
6.启用active response功能:
7.按回车键开始安装:
8.按回车键完成安装:
结语
本文已经介绍了,如何在乌班图上,安装开源的HIDS软件:OSSEC。后面,还会陆续更新相关技能。
另外,OSSEC的客户端还需要服务器生成的密码;然后我们就可以检测啦!(图片来源Linoxide)