当前位置: 首页 > 工具软件 > OSSEC > 使用案例 >

ossec安装

李甫
2023-12-01

安装

安装要求

对于Unix系统来说,OSSEC只需要GNU的make、gcc和libc。推荐使用OpenSSL,但仅属于一个可选项。而且,通常您只需在一个系统上做编译操作,然后将二进制程序复制到其他机器即可。

Ubantu

在Ubantu系统上,你在编译安装OSSEC之前,需要安装build-essential包。

通过如下命令安装程序包:

# apt-get install build-essential

如果需要支持数据库选项的话,需要安装mysql-dev或者postgresql-dev。运行如下命令安装这些程序包:

# apt-get install mysql-dev postgresql-dev

RedHat

RedHat系统默认拥有编译程序必须的所有程序包。但如果需要支持数据库选项的话,需安装mysql-devel和/或者postgresql-devel。

# yum install mysql-devel postgresql-devel

Debian

Debian系统需要先将bash变更为dash,但仍可能在安装过程中出现问题。Dash还没有支持其他shell中的全部功能。因此,代理端在设置服务器IP时可能报错。错误可以忽略,但服务器ip需要手工设置完成。

配置方法如下,在代理端的ossec.conf文件中增加如下内容:

<ossec_config>
  <client>
    <server-ip>SERVER'S IP</server-ip>
  </client>

还有另一个办法避免错误的出现,即使用bash运行install.h

# bash ./install.sh

管理端/代理端安装

OSSEC HIDS安装起来非常简单。Install.sh脚本可自动化完成大部分工作。安装时,需要根据提示,回答一些简单的问题即可。其中最重要的是需要选择安装哪种类型的程序。必须正确选择安装类型:server\agent\local\hybrid。

提示:下面安装中以#开头的为安装命令,其他的全部是注释输出。

1、          下载最新版本并验证它的哈希值。

提示:在一些系统中,计算哈希的命令为md5、sha1,或wget命令不存在。可以尝试使用md5sum、sha1sum或者lynx命令做替代。

警告:wget可能无法从OSSEC网站下载文件。使用-U选项添加一个UserAgent,或者从其他管理端获取checksum文件。

# wget -U ossec http://www.ossec.net/files/ossec-hids-2.8.1.tar.gz
# wget -U ossec http://www.ossec.net/files/ossec-hids-2.8.1-checksum.txt
# cat ossec-hids-2.8.1-checksum.txt
MD5(ossec-hids-2.8.1.tar.gz)= c2ffd25180f760e366ab16eeb82ae382
SHA1(ossec-hids-2.8.1.tar.gz)= 0ecf1df09558dc8bb4b6f65e1fb2ca7a7df9817c
# md5sum ossec-hids-2.8.1.tar.gz
MD5(ossec-hids-2.8.1.tar.gz)= c2ffd25180f760e366ab16eeb82ae382
# sha1sum ossec-hids-2.8.1.tar.gz
SHA1(ossec-hids-2.8.1.tar.gz)= 0ecf1df09558dc8bb4b6f65e1fb2ca7a7df9817c

2、          解压压缩包,然后运行install.sh脚本。按照提示完成安装操作。

# tar -zxvf ossec-hids-*.tar.gz (or gunzip -d; tar -xvf)
# cd ossec-hids-*
# ./install.sh

3、          OSSEC管理端将监听1514UDP端口,需放开管理端和代理端之间的防火墙策略,允许流量通行。

4、          Server、agent、Hybrid的安装需要额外的配置项。可参照代理端的管理章节。

5、          通过如下命令运行OSSEC HIDS:

# /var/ossec/bin/ossec-control start

Windows代理端的安装

提示:Windows系统仅能安装OSSEC的代理端,并且需要配套的OSSEC服务端才可正常运行。

二进制安装

OSSEC通常在每一个需要安装的系统上做编译,但这种做法效率很低。对于这种场景可以采用二进制安装的形式进行。OSSEC可以再一个系统上编译,然后复制到分发系统上。也可以采用RPM或Debian包的形式开展。

提示:OSSEC对跨平台编译支持一般。仅Windows程序可以在Linux系统上做编译,其他的系统必须在相同的操作系统和CPU平台上做编译。

编译OSSEC,并安装到第二个服务器上。

首先,下载OSSEC包到你想安装的系统版本上,然后解压缩(系统需有编译器)。

# wget -U ossec http://www.ossec.net/files/ossec-hids-2.8.1.tar.gz
# tar -zxvf ossec-hids-latest.tar.gz

进入程序源码目录,配置OSSEC,编译agent版本。使用Make命令编译二进制文件。

# cd ossec-*/src
# make setagent
# make all
# make build

修改ossec-hids-*/etc/preloaded-vars.conf来设置BIANARY_INSTALL为yes。

# echo "USER_BINARYINSTALL=\"y\"" >> ossec-hids*/etc/preloaded-vars.conf

最后,创建OSSEC包

# tar -cvf ossec-binary.tar ossec-hids*

安装二进制OSSEC包

在目标系统上(无C编译器),下载前面制作的OSSEC-binary.tar包。解压二进制包并运行install.sh脚本来完成安装。

# tar xfv ossec-binary.tar
# cd ossec-*
# ./install.sh

根据提示完成安装配置后,安装工作完成。

服务器虚拟程序安装

概览:

OSSEC虚拟程序以OVF(Open Virtualized Format)形式提供的虚拟系统。它包括一个OSSEC2.7版本的服务器安装和WebUI(0.8 beta)版本的安装。

账号和密码

系统上所有账号的密码为_0ssec_。WebUI的用户名为user,PhpMyAdmin的账号为root。

OVF到VMWare 镜像的转化

一些VMWare桌面环境还不支持OVF镜像文件,对于这些系统,VMWare提供了ovftool转换工具。从VMWare官网下载ovftool,利用如下方法进行转换:

# tar zxvf ossec_virtual_apliance.tar.gz
# cd ossec_virtual_appliance
# ovftool ossec.ovf ossec.vmx

免交互源码安装

OSSEC支持install.sh的免交互编译安装操作。安装脚本可以从etc/preloaded-vars.conf配置文件读取默认配置。

大部分配置项都记录在了配置文件里,并且均有默认值。去除注释符号脚本即能读取设置项。任何对默认值的变更均需写入配置文件。

提示:如果USER_NO_STOP=”y”没有设置,install.sh脚本将会弹出并请求人工确认。

Preload-vars.conf配置示例:

# preloaded-vars.conf, Daniel B. Cid (dcid @ ossec.net).

#

# Use this file to customize your installations.

# It will make the install.sh script pre-load some

# specific options to make it run automatically

# or with less questions.

 

# PLEASE NOTE:

# When we use "n" or "y" in here, it should be changed

# to "n" or "y" in the language your are doing the

# installation. For example, in portuguese it would

# be "s" or "n".

 

 

# USER_LANGUAGE defines to language to be used.

# It can be "en", "br", "tr", "it", "de" or "pl".

# In case of an invalid language, it will default

# to English "en"

#USER_LANGUAGE="en"     # For english

#USER_LANGUAGE="br"     # For portuguese

 

 

# If USER_NO_STOP is set to anything, the confirmation

# messages are not going to be asked.

#USER_NO_STOP="y"

 

 

# USER_INSTALL_TYPE defines the installation type to

# be used during install. It can only be "local",

# "agent" or "server".

#USER_INSTALL_TYPE="local"

#USER_INSTALL_TYPE="agent"

#USER_INSTALL_TYPE="server"

 

 

# USER_DIR defines the location to install ossec

#USER_DIR="/var/ossec"

 

 

# If USER_DELETE_DIR is set to "y", the directory

# to install OSSEC will be removed if present.

#USER_DELETE_DIR="y"

 

 

# If USER_ENABLE_ACTIVE_RESPONSE is set to "n",

# active response will be disabled.

#USER_ENABLE_ACTIVE_RESPONSE="y"

 

 

# If USER_ENABLE_SYSCHECK is set to "y",

# syscheck will be enabled. Set to "n" to

# disable it.

#USER_ENABLE_SYSCHECK="y"

 

 

# If USER_ENABLE_ROOTCHECK is set to "y",

# rootcheck will be enabled. Set to "n" to

# disable it.

#USER_ENABLE_ROOTCHECK="y"

 

 

# If USER_UPDATE is set to anything, the update

# installation will be done.

#USER_UPDATE="y"

 

# If USER_UPDATE_RULES is set to anything, the

# rules will also be updated.

#USER_UPDATE_RULES="y"

 

# If USER_BINARYINSTALL is set, the installation

# is not going to compile the code, but use the

# binaries from ./bin/

#USER_BINARYINSTALL="x"

 

 

### Agent Installation variables. ###

 

# Specifies the IP address or hostname of the

# ossec server. Only used on agent installations.

# Choose only one, not both.

# USER_AGENT_SERVER_IP="1.2.3.4"

# USER_AGENT_SERVER_NAME

 

 

# USER_AGENT_CONFIG_PROFILE specifies the agent's config profile

# name. This is used to create agent.conf configuration profiles

# for this particular profile name. Only used on agent installations.

# Can be any string. E.g. LinuxDBServer or WindowsDomainController

#USER_AGENT_CONFIG_PROFILE="generic"

 

 

 

### Server/Local Installation variables. ###

 

# USER_ENABLE_EMAIL enables or disables email alerting.

#USER_ENABLE_EMAIL="y"

 

# USER_EMAIL_ADDRESS defines the destination e-mail of the alerts.

#USER_EMAIL_ADDRESS="dcid@test.ossec.net"

 

# USER_EMAIL_SMTP defines the SMTP server to send the e-mails.

#USER_EMAIL_SMTP="test.ossec.net"

 

 

# USER_ENABLE_SYSLOG enables or disables remote syslog.

#USER_ENABLE_SYSLOG="y"

 

 

# USER_ENABLE_FIREWALL_RESPONSE enables or disables

# the firewall response.

#USER_ENABLE_FIREWALL_RESPONSE="y"

 

 

# Enable PF firewall (OpenBSD and FreeBSD only)

#USER_ENABLE_PF="y"

 

 

# PF table to use (OpenBSD and FreeBSD only).

#USER_PF_TABLE="ossec_fwtable"

 

 

# USER_WHITE_LIST is a list of IPs or networks

# that are going to be set to never be blocked.

#USER_WHITE_LIST="192.168.2.1 192.168.1.0/24"

 

 

#### exit ? ###

在Windows环境下编译OSSEC Windows 代理端

警告:对于2.9版本来说此项功能不再支持。Windows客户端可以在Linux系统下编译。我们对更新支持Windows编译的补丁表示欢迎。

大多数人使用OSSEC Windows 代理端都是从OSSEC网站下载的编译好的。但对于一些存在特殊需求的企业环境,这样就有些不适用了。这时,用户可通过定制代理端并维护一个内部版本来满足使用需求。

在《如何在Linux环境下编译Windows 代理端》章节已经提供了编译方法,但是在Windows上这样的流程不大好用了。为此,我分享如下流程给大家。

安装要求:

l  The Nullsoft Scriptable Install System (NSIS)

l  The Minimalist GNU for Windows (MinGW) 编译器

batch file. 简单将 gen_win.txt重命名为gen_win.cmd.

7-Zip for Windows

l  The public domain Unix2DOS utility

l  最新版本的OSSEC for Unix/Linux (含Windows环境代码)

下面是操作步骤:

1、                   下载并安装必要的程序。注意按《正确安装和配置MinGW》章节操作,特别是配置PATH环境的操作。

2、                   之后,通过7-zip解压缩OSSEC程序。右键文件并选择7-zip,解压到文件名.tar。这样,文件夹名称就是包的名称。解压文件后,浏览文件夹,并重复上面步骤来解压所有归档文件,直到可以看到包中所有文件为止。

3、                   将gen_win.txt放置到src\win32文件夹下并重命名为.cmd。

4、                   下载Unix2Dos并放置在src\win32文件夹下。

5、                   打开命令行窗口,进入src\win32目录,按需做个性化修改,执行gen_win.cmd。这可以收集必要的文件并放置在src/win-pkg目录下。

6、                   接下来,在src\win-pkg目录下编译Windows代理端并执行make.bat(我假设你知道如何变更目录)。

7、                   现在我们有了所有必要对文件,但还没法安装他们。通过执行NSIS编译命令即可创建安装器,例如"c:\ProgramFiles\NSIS\makensis.exe" ossec-installer.nsi。

如果没有错误提示,并且ossec-win32-agent.exe的二进制文件已经生成,则说明操作成功。恭喜你,现在可以使用自己定制的OSSEC!

利用MinGW编译OSSEC

利用MinGW可以编译OSSEC的windows代理端。

做一个windows快照是一件很痛苦的事情,这需要我打开我的WindowsVM(慢),倒入代码,编译等等。现在好了,我发现了MinGW这个交叉编译工具,可以很方便的在Linux环境编译Windows代理端。

怎么做的呢?首先,需要安装MinGW和nsis(用于创建安装文件)。如需支持OpenSSL的话,则需安装OpenSSL MinGW安装包。

这之后,则可以下载源代码并生成Windows包目录了。

注意:在一些系统上,md5、sha1或wget命令可能不存在,可以尝试替代命令md5sum、sha1sum或lynx。

警告:如果不能从ossec网站下载这些文件。可以尝试-U项增加客户端信息,或者从其他途径下载checksum文件。

# wget -U ossec http://www.ossec.net/files/ossec-hids-2.8.1.tar.gz

# wget -U ossec http://www.ossec.net/files/ossec-hids-2.8.1-checksum.txt

# cat ossec-hids-2.8.1-checksum.txt

MD5(ossec-hids-2.8.1.tar.gz)= c2ffd25180f760e366ab16eeb82ae382

SHA1(ossec-hids-2.8.1.tar.gz)= 0ecf1df09558dc8bb4b6f65e1fb2ca7a7df9817c

# md5sum ossec-hids-2.8.1.tar.gz

MD5(ossec-hids-2.8.1.tar.gz)= c2ffd25180f760e366ab16eeb82ae382

# sha1sum ossec-hids-2.8.1.tar.gz

SHA1(ossec-hids-2.8.1.tar.gz)= 0ecf1df09558dc8bb4b6f65e1fb2ca7a7df9817c

并生成Windows包路径

# cd ossec-hids-2.8.1/src/win32

# ./gen-win.sh

现在,在src目录下面创建了win-pkg目录。进入目录并运行make.sh。几分钟之后Windows代理端就创建成功了。

注意:make.sh文件需要根据Linux版本情况进行一定的修改。

# cd ../win-pkg

# sh ./make.sh

可以看到屏幕出现如下显示:

Making windows agent

rootcheck/win-common.c: In function "__os_winreg_querykey":

rootcheck/win-common.c:279: warning: pointer targets in passing argument 7 of "RegEnumValueA" differ in signedness

win-registry.c: In function "os_winreg_querykey":

...

 

Output: "ossec-win32-agent.exe"

Install: 7 pages (448 bytes), 3 sections (3144 bytes), 379 instructions (10612 bytes), 247 strings (42580 bytes), 1 language table (346 bytes).

Uninstall: 5 pages (320 bytes),

1 section (1048 bytes), 301 instructions (8428 bytes), 166 strings (2646 bytes), 1 language table (290 bytes).

Datablock optimizer saved 8371 bytes (~0.7%).

这意味着可执行的代理端ossec-win32-agent.exe创建成功了。

利用cfengine进行集成和部署

最近我有个需求,需要在较少人工介入的情况下安装OSSEC-HIDS。几乎所有的OSSSEC-HIDS教程告诉我可以这样做,但却找不到具体方法。因此,基于开源精神,我贡献一种方法。

安装条件:

为满足必要的条件,我创建了一个相关信息的文件并将它复制到我的cfmster服务器。接下来我将介绍如何操作。

配置cfengine客户端:

我添加了一个ossec server分组到我的cfagent.conf中:hg_ossec_server(主机分组)。之后我创建了ossec-hids.cfwendang 包含如下信息。

  • control

我在control段创建了接下来要用到的变量:

control:

  any::

    ossec_key_dir = (/usr/local/cfkeys/ossec)

    ossec_req_dir = ( $(util_updir)/ossec )

  • package

我使用本地rpm源通过yum命令自动化安装OSSEC-HIDS。

packages:

  !hg_ossec_server::

      ossec-hids                  action=install

      ossec-hids-client           action=install

  • links

链接段将客户端的ossec-aent.conf链接到服务器端的ossec.conf。

links:

  !hg_ossec_server::

    /var/ossec/etc/ossec.conf -> /var/ossec/etc/ossec-agent.conf

  • copy

由于我的cfengine配置均存储在子版本目录,我只需在cfengine上编辑ossec-agent即可。之后,第一个stanza版本会将最近的版本分发到我的整个网络。

copy:

  !hg_ossec_server::

      $(distribute)/ossec-agent.conf      dest=/var/ossec/etc/ossec-agent.conf

                                          server=$(policyhost)

                                          mode=640

                                          group=ossec

                                          type=sum

                                          define=dc_restart_ossec

copy段的第二个stanza会将我们的ossec key目录复制为客户端的client.keys文件。如果两个文件版本不同时,客户端的版本将被更新。如果复制发生,则dc_restart_ossec参数将被设置。

$(ossec_key_dir)/$(host).ossec    dest=/var/ossec/etc/client.keys

                                  server=$(policyhost)

                                  mode=640

                                  group=ossec

                                  type=sum

                                  define=dc_restart_ossec

  • processes

我的处理过程段用来检查ossec-hids进程被成功启用。

processes:

  !hg_ossec_server::

      "ossec-agentd" elsedefine=dc_restart_ossec

  ``hg_ossec_server``::

      "ossec-remoted" elsedefine=dc_restart_ossec

  • shellcommands

这一部分我巧妙地设计为获取证书的操作。我希望除我之外,大家也喜欢这样做。首先,它运行了一个echo命令将eth0的ipv4地址写入到host.ossec文件中。Hg_ossec_server类将使用它来生成cert并放置在前面的copy段。

shellcommands:

  !hg_ossec_server::

      "/usr/bin/ssh util@$(policyhost) -i $(util_privkey) 'echo $(global.ipv4[eth0]) > $(ossec_req_dir)/$(host).ossec'"

最后的语句用来检测是否有人设置了dc_restart_ossec。如果设置了,则重启ossec-hids。

dc_restart_ossec::

    "/sbin/service ossec-hids restart"

好的,可使谁又关心呢。

好,现在我们的客户端被配置成可以安装、配置、启动OSSEC-HIDS并且主动获取给证书。但是,服务器端的认证目录仍然为空,所有对步骤都没有实际运行。这才是问题。

使用cfengine配置ossec server

这个cfengine很简单,它只是调用了我的打包shell并设置好类。我在control段完成这个操作。

control:

 hg_ossec_server::

   AddClasses = ( ExecResult(/root/security/ossec-scan.sh) )

两个脚本相结合,cfengine配置中的这行代码完成了创建、移除、导出keys,还有配置dc_restart_ossec类的变更操作。

OSSEC 更新

更新OSSEC非常简单。下载最新的包,按安装步骤操作即可。它将提示你已经安装了OSSEC并询问:

- You already have OSSEC installed. Do you want to update it? (y/n): y

回复yes,脚本将本心OSSEC二进制文件。过程中Local_rules.xml和local_decoder.xml不会被更改。脚本也将弹出并询问是否更新规则。

- Do you want to update the rules? (y/n): y

回复yes,ossec.conf中的<rules>部分也

posted on 2019-03-15 09:26 showking 阅读( ...) 评论( ...) 编辑 收藏

转载于:https://www.cnblogs.com/dr0wssap/p/10534990.html

 类似资料: