CentOS7下OSSEC(v3.6.0)安装及配置(图文)

一、安装前说明

OSSEC是一款开源的多平台基于主机的入侵检测系统,可以简称为HIDS。它具备日志分析,文件完整性检查,策略监控,rootkit检测,实时报警以及联动响应等功能。它支持多种操作系统:Linux、Windows、MacOS、Solaris、HP-UX、AIX。属于企业安全之利器。OSSEC默认具有一个ossec-logtest工具用于测试OSSEC的泛化及告警规则。该工具一般默认安装于目录 /var/ossec 中。

S/C运行模式,类似于zabbix支持Alert logging、firewall logging and event (archiving) loggingserver开通udp514(rsyslog),udp1514(ossec-remoted)端口监听,client会把实时状态数据发给server集成fail2ban,iptables过滤,错误日志分析

环境:

本文使用两台CentOS 7.8 x64虚拟机,一台为Server端,一台为Agent端

Server IP:192.168.168.100

Server Hostname:Test

Agent IP:192.168.168.103

Agent Hostname:Test1

关闭SElinux!

防火墙设置:CentOS 7.8默认使用firewall,本文中禁用firewall,使用iptables。Server端开启OSSEC通信的udp 514、1514端口;开启APACHE(WEB界面)端口,默认是TCP 80端口,本文中修改为8080。

本文中不使用MySQL数据库存储。

Server服务端操作

二、安装及配置OSSEC-Server服务端

1.基础环境

## 初始化环境安装,安装编译库,以及数据库支持库

rpm -ivh http://dl.fedoraproject.org/pub/epel/epel-release-latest-7.noarch.rpm yum -y install gcc make pcre2 pcre2-devel libevent-devel zlib-devel sendmail sqlite-devel openssl-devel postgresql-devel

2.安装OSSEC-Server

## 下载

cd /data/tools wget -O ossec-hids-3.6.0.tar.gz https://github.com/ossec/ossec-hids/archive/3.6.0.tar.gz

## 解压并安装

tar xf ossec-hids-3.6.0.tar.gz cd ossec-hids-3.6.0/ ./install.sh

执行install.sh脚本,根据提示的选项填写

①您希望选择哪一种语言安装 (en/br/cn/de/el/es/fr/hu/it/jp/nl/pl/ru/sr/tr)? en (默认为 en)

②确认机器上已经正确安装了 C 编译器,及显示系统、用户、主机名等信息。按ENTER键继续。

③您希望哪一种安装 (server, agent, local or help)? server

④正在初始化安装环境. - 请选择 OSSEC HIDS 的安装路径 [/var/ossec]:

(本文中使用默认安装路径/var/ossec)

⑤配置 OSSEC HIDS.

## 您希望收到e-mail告警吗? (y/n) [y]: y //输入接收告警的e-mail地址及STMP地址。

## 您希望运行系统完整性检测模块吗? (y/n) [y]: y

## 您希望运行 rootkit检测吗? (y/n) [y]: y

## 关联响应允许您在分析已接收事件的基础上执行一个已定义的命令。例如,你可以阻止某个IP地址的访问或禁止某个用户的访问权限。您希望开启联动(active response)功能吗? (y/n) [y]: y

默认情况下, 我们开启了主机拒绝和防火墙拒绝两种响应。

第一种情况将添加一个主机到 /etc/hosts.deny.第二种情况将在iptables(linux)或ipfilter(Solaris,FreeBSD 或 NetBSD)中拒绝该主机的访问。该功能可以用以阻止 SSHD 暴力攻击, 端口扫描和其他一些形式的攻击。同样你也可以将他们添加到其他地方,例如将他们添加为 snort 的事件。

您希望开启防火墙联动(firewall-drop)功能吗? (y/n) [y]: y (显示联动功能默认的白名单,为系统配置的DNS地址)

## 您希望添加更多的IP到白名单吗? (y/n)? [n]: y

## 请输入IP (用空格进行分隔),添加服务端及客户端的IP,后续也可在配置文件中修改

## 您希望接收远程机器syslog吗 (port 514 udp)? (y/n) [y]: y

## 设置配置文件以分析日志。如果你希望监控其他文件, 只需要在配置文件ossec.conf中添加新的一项。按 “ENTER” 继续 。

## 编译安装完成,省略编译输出。

启动 OSSEC HIDS:/var/ossec/bin/ossec-control start

停止 OSSEC HIDS:/var/ossec/bin/ossec-control stop

OSSEC系统配置文件:/var/ossec/etc/ossec.conf

## 请按"ENTER" 结束安装 (下面可能有更多信息)

## 为使代理能够连接服务器端, 您需要将每个代理添加到服务器。运行manage_agents来添加或删除代理

注:启动ossec服务端必须先添加一个客户端,否则直接启动服务端是会失败的。如下图所示

3.服务器上添加客户端,创建客户端Key

执行如下命令:

/var/ossec/bin/manage_agents

①添加客户端,填入客户端主机名、IP等信息。

②创建客户端Key

## 生成的Key,用于后面客户端的连接,需要记录保存。

MDAxIFRlc3QxIDE5Mi4xNjguMTY4LjEwMyAwNmMwMGM2YTRiMzI3MjQwMWE4NDhhODZmZGMxY2IyYjZlNjQ3OWE0NTk2MmYzY2MzMjhmZWZlMGI3OTc5MmMx

注:配置完成后,若OSSEC服务已启动,则需重新启动OSSEC服务才能使更改生效。

4.启动ossec服务端

/var/ossec/bin/ossec-control start

至此,服务端安装完毕。接下来在本地测试环境中的另一台虚拟机安装客户端,与安装服务端类似同样需要安装ossec。

Agent客户端操作

三、安装及配置ossec-agent客户端

1.基础环境安装(安装编译库)

rpm -ivh http://dl.fedoraproject.org/pub/epel/epel-release-latest-7.noarch.rpm yum -y install gcc make pcre2 pcre2-devel libevent-devel zlib-devel

2.下载并安装

cd /data/tools wget -O ossec-hids-3.6.0.tar.gz tar xf ossec-hids-3.6.0.tar.gz cd ossec-hids-3.6.0/ ./install.sh

执行install.sh脚本,根据提示的选项填写

①您希望选择哪一种语言安装 (en/br/cn/de/el/es/fr/hu/it/jp/nl/pl/ru/sr/tr)? en (默认为 en)

②确认机器上已经正确安装了 C 编译器,显示系统、用户、主机名等信息。按ENTER键继续。

③您希望哪一种安装 (server, agent, local or help)? agent

④初始化安装环境. - 请选择 OSSEC HIDS 的安装路径 [/var/ossec]:

(本文中使用默认安装路径/var/ossec)

⑤配置 OSSEC HIDS.

## 请输入 OSSEC HIDS 服务器的IP地址或主机名: 192.168.168.100

## 您希望运行系统完整性检测模块吗? (y/n) [y]: y

## 您希望运行 rootkit检测吗? (y/n) [y]: y

## 您希望开启联动(active response)功能吗? (y/n) [y]: y

## 设置配置文件以分析日志。如果你希望监控其他文件, 只需要在配置文件ossec.conf中添加新的一项。按“ENTER”继续 。

## 编译安装完成,省略编译输出。

启动 OSSEC HIDS:/var/ossec/bin/ossec-control start

停止 OSSEC HIDS:/var/ossec/bin/ossec-control stop

OSSEC系统配置文件:/var/ossec/etc/ossec.conf

## 请按“ENTER”结束安装 (下面可能有更多信息)

## 必须将该代理添加到服务器端以使他们能够相互通信。这样做了以后,您可以运行manage_agents工具导入服务器端产生的认证密匙。使用命令:/var/ossec/bin/manage_agents

3.配置Server与Agent客户端通信

Server和Agent之间建立通信需要通过认证,在Server端为Agent生成通讯密钥并导入Agent后才能完成信任关系,以及Server端需要开放UDP 1514通讯端口,接收Agent上报的信息。

## 创建sender空文件,否则会出现如下图所示的错误

touch /var/ossec/queue/rids/sender

/var/ossec/bin/manage_agents

## 执行I选项,输入key

4.启动客户端

/var/ossec/bin/ossec-control start

Server服务端操作

5.检查Agent是否可以通信

/var/ossec/bin/list_agents -c

备注:可以通过 /usr/local/ossec/bin/list_agents -h 查询更多Agent的状态信息

Server服务端操作

四、为ossec-server安装web界面(ossec-wui)

1.安装WEB环境(apache\php)

## 安装EPEL rpm -Uvh https://dl.fedoraproject.org/pub/epel/epel-release-latest-7.noarch.rpm ## 安装PHP安装源,CentOS7系统yum默认安装的版本是5.4.x,版本低 rpm -Uvh https://mirror.webtatic.com/yum/el7/webtatic-release.rpm ## 安装APACHE及PHP yum -y install httpd php56w php56w-fpm php56w-cli php56w-common php56w-gd php56w-mbstring php56w-mcrypt php56w-bcmath php56w-opcache php56w-pdo

2.下载ossec-wui并解压配置

cd /data/tools wget -O ossec-wui-0.9.zip unzip ossec-wui-0.9.zip mv ossec-wui-0.9 /var/www/html/ossec cd /var/www/html/ossec/ ./setup.sh

## 自定义设置用户名及密码。本文中设置的用户及密码均为 admin 。

3.配置APACHE

vi /etc/httpd/conf/httpd.conf

## 在配置文件末尾新增以下设定(注:若配置是在httpd服务启动后修改的,需重启httpd服务。)

<Directory "/var/www/html/ossec"> Options FollowSymLinks AllowOverride None Order deny,allow allow from all Options -MultiViews AuthName "OSSEC Access" AuthType Basic AuthUserFile /var/www/html/ossec/.htpasswd Require valid-user </Directory>

4.配置PHP时区

vi /etc/php.ini //第889行 date.timezone = "Asia/Shanghai"

5.启动apache及php并配置开机启动

## apache

## 启动 systemctl start httpd ## 开机启动 systemctl enable httpd

## php

## 启动 systemctl start php-fpm ## 开机启动 systemctl enable php-fpm

6.访问测试

httpd默认使用80端口。本文中做了修改,使用8080端口(端口的修改本文中不做赘述)。

## 浏览器地址输入URL::8080/ossec,

## 输入上述设置的管理账号:admin,密码:admin

五、Ossec服务管理相关命令

## 启动:

/var/ossec/bin/ossec-control start 或 /etc/init.d/ossec start

## 关闭:

/var/ossec/bin/ossec-control stop 或 /etc/init.d/ossec stop

## 重启:

/var/ossec/bin/ossec-control restart 或 /etc/init.d/ossec restart

## 查看状态:

/var/ossec/bin/ossec-control status 或 /etc/init.d/ossec status

## Server端创建Agent客户端KEY:

/var/ossec/bin/manage_agents

## Agent客户端加入Server端:

/var/ossec/bin/manage_agents

## Server上检查Agent是否可以通信:

/var/ossec/bin/list_agents -c

## Server上查看agent客户端列表:

/var/ossec/bin/list_agents -a

## Server上查看agent控制端(即服务端)状态:

/var/ossec/bin/agent_control -lc

## 设置开机启动:(默认已配置开机启动)

chkconfig --level 2345 ossec on

六、OSSEC服务端配置

1.系统配置

修改配置文件:/var/ossec/etc/ossec.conf

1.1 Email 配置

<ossec_config> <global> <email_notification>yes</email_notification> <email_to>[email protected]</email_to> ### 收件人 <smtp_server>smtp.example.com</smtp_server> ### SMTP Server <email_from>[email protected]</email_from> ### 寄件人 <!-- <email_reply_to>[email protected]</email_reply_to> --> </global>

1.2 告警轮循配置

<syscheck> <!-- Frequency that syscheck is executed -- default every 2 hours --> <frequency>600</frequency> ### 每600秒一次轮循

1.3 新增程序部署路径配置

<!-- Directories to check (perform all possible verifications) --> <directories check_all="yes">/etc,/usr/bin,/usr/sbin</directories> <directories check_all="yes">/bin,/sbin,/boot</directories> <directories check_all="yes">/var/www/html/ossec/</directories> ### 程序部署路径

1.4 新增IP白名单配置

## 由于服务端安装过程中设置了支持接受远程机器的syslog,所以需要对ossec.conf文件中的syslog部分进行配置,修改ossec.conf文件,将需要收集的网段全添加进去。

<global> <white_list>127.0.0.1</white_list> <white_list>::1</white_list> <white_list>192.168.168.100</white_list>### 单IP <white_list>192.168.168.101, 192.168.168.102</white_list>### 多IP <white_list>192.168.168.0/24</white_list>### CIDR区段IP </global>

1.5 调整告警配置

<alerts> <log_alert_level>3</log_alert_level> <email_alert_level>5</email_alert_level> ### Email告警包含低阶层错误以上(如, missed passwords, denied action, etc.) </alerts>

2.系统配置

修改配置文件:/var/ossec/rules/local_rules.xml

## 新增以下内容于 <group name="local,syslog,"> 内

<rule id="550" level="7" overwrite="yes"> ### 档案修改 <category>ossec</category> <decoded_as>syscheck_integrity_changed</decoded_as> <description>Integrity checksum changed.</description> <group>syscheck,</group> </rule> <rule id="553" level="7" overwrite="yes"> ### 档案删除 <category>ossec</category> <decoded_as>syscheck_deleted</decoded_as> <description>File deleted. Unable to retrieve checksum.</description> <group>syscheck,</group> </rule> <rule id="554" level="7" overwrite="yes"> ### 档案新增 <category>ossec</category> <decoded_as>syscheck_new_entry</decoded_as> <description>File added to the system.</description> <group>syscheck,</group> </rule>