Centos6.4 安裝ossec 2.7（1）

Ossec簡(jiǎn)單介紹

Ossec是一款非常強(qiáng)的主機(jī)IDS(hids)，它可以幫我們分析日志，檢查文件完整性，檢查rootkit并且能夠?qū)崟r(shí)報(bào)警和主動(dòng)響應(yīng)。另外ossec幾乎支持所有主流的操作系統(tǒng)，因?yàn)樗情_(kāi)源的，所以我們可以再ossec上面做二次開(kāi)發(fā)跟我們已有的一些系統(tǒng)進(jìn)行整合,比如zabbix，cacti。它的工作模式分為兩種:C/S模式和local模式。local模式可以單獨(dú)安裝到一臺(tái)機(jī)器上。本文將介紹C/S模式，這種模式在生產(chǎn)環(huán)境中最為適用。

Ossec的優(yōu)點(diǎn)

開(kāi)源

跨平臺(tái)

支持無(wú)客戶端模式

合規(guī)性需求

實(shí)時(shí)的和可配置的警報(bào)

集中管理

等等

Ossec的主要功能

日志分析

文件完整性檢查（UNIX和Windows）

rootkit檢測(cè)

Windows注冊(cè)表監(jiān)測(cè)

基于UNIX的rootkit檢測(cè)

實(shí)時(shí)報(bào)警和主動(dòng)響應(yīng)

檢查磁盤空間及系統(tǒng)負(fù)載

檢測(cè)主機(jī)端口變化

支持nmap檢查端口開(kāi)放及變更情況

可以檢測(cè)域名變化情況

等等

默認(rèn)安裝在 /var/ossec/

主配置文件在 /var/ossec/etc/ossec.conf

×××存儲(chǔ)在/var/ossec/etc/decoders.xml

二進(jìn)制文件 /var/ossec/bin/

所有的規(guī)則都在/var/ossec/rules/*.xml

警報(bào)存儲(chǔ)在 /var/ossec/logs/alerts.log

由多個(gè)進(jìn)程控制（所有控制通過(guò)ossec-control）

Ossec Server服務(wù)器的進(jìn)程

[root@localhost ~]# ps -ef |grep ossec

ossecm    5505     1  0 13:21 ?        00:00:00 /var/ossec/bin/ossec-dbd

ossecm    5510     1  0 13:21 ?        00:00:00 /var/ossec/bin/ossec-maild

root      5512     1  0 13:21 ?        00:00:00 /var/ossec/bin/ossec-execd

ossec     5518     1  0 13:21 ?        00:00:12 /var/ossec/bin/ossec-analysisd

root      5522     1  0 13:21 ?        00:00:00 /var/ossec/bin/ossec-logcollector

ossecr    5526     1  0 13:21 ?        00:00:00 /var/ossec/bin/ossec-remoted

ossecr    5527     1  0 13:21 ?        00:00:01 /var/ossec/bin/ossec-remoted

root      5534     1  0 13:21 ?        00:00:18 /var/ossec/bin/ossec-syscheckd

ossec     5536     1  0 13:21 ?        00:00:00 /var/ossec/bin/ossec-monitord

[root@localhost ~]# /var/ossec/bin/ossec-control status

ossec-monitord is running...

ossec-logcollector is running...

ossec-remoted is running...

ossec-syscheckd is running...

ossec-analysisd is running...

ossec-maild is running...

ossec-execd is running...

ossec-dbd is running...

每個(gè)進(jìn)程的任務(wù)

Analysisd – 做所有的分析（主程序）

Remoted – 從代理接收遠(yuǎn)程日志

Logcollector –讀取日志文件（syslog，平面文件，Windows事件日志，IIS，等）

Agentd –轉(zhuǎn)發(fā)日志服務(wù)器

Maild – 發(fā)送電子郵件警報(bào)

Execd – 執(zhí)行積極的反應(yīng)

Monitord - 監(jiān)視代理狀態(tài)下，壓縮和標(biāo)志的日志文件，等

ossec-control 管理啟動(dòng)和停止他們的所有

ossec local：普通日志故障分析流程

日志采集由ossec-logcollector做

分析和解碼是通過(guò) ossec-analysisd 做

報(bào)警是通過(guò)ossec-maild 做

積極響應(yīng)由 ossec-execd 做

client/server:客戶/服務(wù)器體系結(jié)構(gòu)的通用日志分析流程

日志采集由ossec-logcollector做

分析和解碼是通過(guò) ossec-analysisd 做

報(bào)警是通過(guò)ossec-maild 做

積極響應(yīng)由 ossec-execd 做