- 論壇徽章:
- 0
|
ossec主機入侵檢查系統(tǒng)架設(shè)
概念
rootkit含義:
rootkit基本是由幾個獨立程序組成����,一個典型rootkit包括:以太網(wǎng)嗅探器程序,用于獲得網(wǎng)絡(luò)上傳輸?shù)挠脩裘兔艽a等信息�。特洛伊木馬程序,為攻擊者提供后門�����。隱藏攻擊者目錄和進(jìn)程的程序�。還包括一些日志清理工具,攻擊者用其刪除wtmp�、utmp和lastlog等日志文件中有關(guān)自己行蹤的條目。復(fù)雜的rootkit還可以向攻擊者提供telnet�����、shell和 finger等服務(wù)�。還包括一些用來清理/var/log和/var/adm目錄中其它文件的腳本�。
這種可惡的程序是一批工具集,黑客用它來掩飾對計算機網(wǎng)絡(luò)的入侵并獲得管理員訪問權(quán)限��。一旦黑客獲得管理員訪問權(quán)限���,就會利用已知的漏洞或者破解密碼來安裝rootkit����。然后rootkit會收集網(wǎng)絡(luò)上的用戶ID和密碼,這樣黑客就具有高級訪問權(quán)限了����。
Rootkit掃描是專門針對rootkit進(jìn)行的一種優(yōu)化式的掃描方式。
一.OSSEC簡要介紹:
OSSEC 是一款開源的入侵檢測系統(tǒng)����,包括了日志分析,全面檢測���,rook-kit檢測����。作為一款HIDS����,OSSEC應(yīng)該被安裝在一臺實施監(jiān)控的系統(tǒng)中。另外有時候不需要安裝完全版本得OSSEC��,如果有多臺電腦都安裝了OSSEC���,那么就可以采用客戶端/服務(wù)器模式來運行�������?蛻魴C通過客戶端程序?qū)?shù)據(jù)發(fā)回到服務(wù)器端進(jìn)行分析�����。在一臺電腦上對多個系統(tǒng)進(jìn)行監(jiān)控對于企業(yè)或者家庭用戶來說都是相當(dāng)經(jīng)濟(jì)實用的����。
對我來說OSSEC最大的優(yōu)勢在于它幾乎可以運行在任何一種操作系統(tǒng)上,比如Windows, Linux, OpenBSD/FreeBSD, 以及 MacOS����。不過運行在Windows上的客戶端無法實現(xiàn)root-kit檢測,而其他系統(tǒng)上的客戶端都沒有問題�。OSSEC的手冊上說OSSEC目前還不支持Windows系統(tǒng)下得root-kit檢測
二.安裝
1. 安裝所需軟件:Basically, for Unix systems, ossec just requires gcc and glibc.
下載軟件:從http://www.ossec.net 上下載最新的OSSEC
源代碼包��;
2. 安裝服務(wù)器:
1). 選擇一臺服務(wù)器作為OSSEC服務(wù)器;
2). 將OSSEC源代碼包拷貝到該服務(wù)器并解壓;
3). 進(jìn)入OSSEC目錄并運行install.sh開始安裝(如果想讓ossec支持mysql,則在安裝前先需入src目錄下執(zhí)行make setdb命令,如果想讓ossec支持更多代理�,在src目錄下執(zhí)行make setmaxagents命令,ossec目前最大只支持2048個客戶端,并且大多數(shù)系統(tǒng)對最大文件數(shù)有限制,我們可以通過ulimit -n 2048來增加系統(tǒng)支持的最大文件數(shù)(或者sysctl -w kern.maxfiles=2048;
4). 在提示輸入安裝類型時,輸入server;
5). 在提示輸入安裝路徑時,輸入/opt/ossec;
6). 在提示是否希望接收E-MAIL通告時, 接受默認(rèn)值, 并在接下來的提示中依次輸入用來接收OSSEC 通告的E-MAIL地址, 郵件服務(wù)器的名字或IP地址,我這里是選擇localhost作為mta,然后通過設(shè)置/etc/alias別名列表來將郵件轉(zhuǎn)發(fā)到我指定的郵箱;
7). 其它提示接受默認(rèn)值;
3. 安裝代理:
1). 將OSSEC源代碼包拷貝到某臺欲在其上安裝OSSEC代理的linux服務(wù)器上并解壓;
2). 進(jìn)入OSSEC目錄并運行install.sh開始安裝;
3). 在提示輸入安裝類型時,輸入agent;
4). 在提示輸入安裝路徑時,輸入/opt/ossec;
5). 在提示輸入服務(wù)器IP地址時輸入我們的OSSEC服務(wù)器的IP地
址;
6). 其它提示接受默認(rèn)值;
在欲在其上安裝OSSEC代理的所有l(wèi)inux服務(wù)器執(zhí)行1) – 6)
三.配置
1. 在OSSEC服務(wù)器上運行 /opt/ossec/bin/manage-agents;
2. 在某個OSSEC代理上運行 /opt/ossec/bin/manage-agents;
3. 在OSSEC服務(wù)器的主菜單下輸入A/a 增加一個代理, 為該代理輸入一個容易區(qū)別的名字(比如其hostname), 并輸入其IP 地址;
4. 在主菜單下輸入E/e 為該代理生成密鑰;
5. 在該OSSEC代理的主菜單下輸入I/i 準(zhǔn)備導(dǎo)入OSSEC服務(wù)器生成的密鑰;
6. 將OSSEC服務(wù)器生成的密鑰復(fù)制到OSSEC代理;
7. 按Q/q鍵退出OSSEC服務(wù)器和代理, 并重新啟動OSSEC服務(wù)器和代理(分別在OSSEC服務(wù)器和代理所在的服務(wù)器上執(zhí)行/etc/init.d/ossec restart)
在欲在其上配置OSSEC代理的所有l(wèi)inux服務(wù)器執(zhí)行2) – 7)
OSSEC安裝
8. ossec安裝完后��,默認(rèn)會在$directory生成如下幾個目錄:active-response,bin,etc,logs,queue, rules,stats,tmp,var,主要配置文件為/$directory/etc/ossec.conf,$directory為你ossec安裝目錄�����,每個選項的詳細(xì)說明請見:http://www.ossec.net/en/manual.html#installorder����。規(guī)則文件目錄為 /$directory/rules
四.FAQ
Question 1:
如何配置ossec在主動響應(yīng)中不阻止特定ip
A:將特定ip列表加入etc/ossec.conf中的<white-list>ips</white-list>
如我們不想讓192.168.10.0/24網(wǎng)段的所有主機觸發(fā)ossec主動響應(yīng)的命令,編輯/var/ossec/etc/ossec.conf,按如下方式填寫即可
<global>
<white-list>127.0.0.1</white-list>
<white-list>192.168.10.0/24</white-list>
</global>
Question 2
如何使ossec支持mysql
A:要使用ossec支持mysql���,首先編譯時我們需進(jìn)入src目錄下執(zhí)行:make setdb命令����,然后cd ..返回上一級目錄�����,再執(zhí)行package/install.sh按上面所列方法安裝
Question 3
我smtp server設(shè)置正確��,但為何我收不到ossec主機所發(fā)的郵件����,在郵件日志中老顯示連接超時。
A: ossec原則上不要求在本地架設(shè)mta服務(wù)器�����,但我們知道,為了防止垃圾��,基本上所有郵件服務(wù)器都關(guān)閉了open relay,然我們的ossec并沒有為smtp認(rèn)證提供username與password設(shè)置選項�����,這就使我們在選擇其它smtp 服務(wù)器時無法指定用戶名與密碼��,因此我的做法是設(shè)置ossec發(fā)信給root@localhost�����,然后在本地郵件服務(wù)器別名列表中�����,將所有轉(zhuǎn)發(fā)給 root的信件再轉(zhuǎn)發(fā)給我所希望的email地址����。
Question 4
如何設(shè)置ossec同時去監(jiān)檢多個日志文件
A:有時,我們同時有多個日志文件希望被監(jiān)測�,但又不想一個個輸入ossec.conf配置文中�。其實我可以利用ossec的posix規(guī)則表達(dá)示來達(dá)到你的目的��。如假如你有如下幾個日志文件:
/var/log/host1/xx.log,yy.log,zz.log
/var/log/host2/xx.log,aa.log
/var/log/host3/zz.log,abc.log
/var/log/hostn/bb.log,xyz.log
我們可以這樣設(shè)置
<localfile>
<log_format>syslog</log_format>
<localtion>/var/log/host*/*.log</location>
</localfile>
Question 5
我采用的是S/C安裝方式��,并且巳按正確方法在服務(wù)器上注冊的客戶機�����,但ossec服務(wù)器與客戶無法還是無法通信
A:針對這個問題��,a.首先我們要確定安裝順序是否正確����,一般我們是先安裝server����,然后是agent,并且在服務(wù)器給agent生成密匙��,再在agent上導(dǎo)入密匙���,注意在server上生成密匙時agent的ip地址千萬不能寫錯����,否則無法通信。
b.使用netstat -ntlup查看本機是否開啟了514,1514端口接受agent連接�����,如果端口還沒有打開,先/etc/init.d/syslog restart再查看���。請隨時查閱/var/ossec/logs/ossec.conf日志文件中的是志�。
c.如果你啟了防火墻���,請一定要將514,1514的數(shù)據(jù)放行����,否則agent無法與server正常通信��。
以上是我們個人使用ossec來一點實際經(jīng)驗����,歡迎大家繼續(xù)加精
Question 6
如何檢測apache日志
我們可以這樣設(shè)置
<localfile>
<log_format>apache</log_format>
<localtion>你的apache日志目錄</location>
</localfile>
Question 7
我公司是動態(tài)ip上網(wǎng),經(jīng)常被布署有ossec入侵檢測系統(tǒng)的外網(wǎng)維護(hù)服務(wù)器將其加入/etc/hosts.deny與iptables中
針對這個問題���,我有專門寫一個腳本���,你可以參照它針對自己的網(wǎng)絡(luò)環(huán)境修改,目前我的有了它之后一切運行良好。 |
|
免費注冊
發(fā)表于 2008-07-26 08:44
