- 論壇徽章:
- 0
|
ossec主機(jī)入侵檢查系統(tǒng)架設(shè)
概念
rootkit含義:
rootkit基本是由幾個(gè)獨(dú)立程序組成�����,一個(gè)典型rootkit包括:以太網(wǎng)嗅探器程序,用于獲得網(wǎng)絡(luò)上傳輸?shù)挠脩裘兔艽a等信息����。特洛伊木馬程序�����,為攻擊者提供后門�。隱藏攻擊者目錄和進(jìn)程的程序�。還包括一些日志清理工具,攻擊者用其刪除wtmp��、utmp和lastlog等日志文件中有關(guān)自己行蹤的條目�����。復(fù)雜的rootkit還可以向攻擊者提供telnet��、shell和 finger等服務(wù)��。還包括一些用來清理/var/log和/var/adm目錄中其它文件的腳本��。
這種可惡的程序是一批工具集���,黑客用它來掩飾對(duì)計(jì)算機(jī)網(wǎng)絡(luò)的入侵并獲得管理員訪問權(quán)限�。一旦黑客獲得管理員訪問權(quán)限��,就會(huì)利用已知的漏洞或者破解密碼來安裝rootkit。然后rootkit會(huì)收集網(wǎng)絡(luò)上的用戶ID和密碼��,這樣黑客就具有高級(jí)訪問權(quán)限了��。
Rootkit掃描是專門針對(duì)rootkit進(jìn)行的一種優(yōu)化式的掃描方式���。
一.OSSEC簡(jiǎn)要介紹:
OSSEC 是一款開源的入侵檢測(cè)系統(tǒng)����,包括了日志分析����,全面檢測(cè),rook-kit檢測(cè)��。作為一款HIDS�,OSSEC應(yīng)該被安裝在一臺(tái)實(shí)施監(jiān)控的系統(tǒng)中。另外有時(shí)候不需要安裝完全版本得OSSEC�,如果有多臺(tái)電腦都安裝了OSSEC,那么就可以采用客戶端/服務(wù)器模式來運(yùn)行�����?蛻魴C(jī)通過客戶端程序?qū)?shù)據(jù)發(fā)回到服務(wù)器端進(jìn)行分析��。在一臺(tái)電腦上對(duì)多個(gè)系統(tǒng)進(jìn)行監(jiān)控對(duì)于企業(yè)或者家庭用戶來說都是相當(dāng)經(jīng)濟(jì)實(shí)用的����。
對(duì)我來說OSSEC最大的優(yōu)勢(shì)在于它幾乎可以運(yùn)行在任何一種操作系統(tǒng)上�����,比如Windows, Linux, OpenBSD/FreeBSD, 以及 MacOS����。不過運(yùn)行在Windows上的客戶端無法實(shí)現(xiàn)root-kit檢測(cè),而其他系統(tǒng)上的客戶端都沒有問題�����。OSSEC的手冊(cè)上說OSSEC目前還不支持Windows系統(tǒng)下得root-kit檢測(cè)
二.安裝
1. 安裝所需軟件:Basically, for Unix systems, ossec just requires gcc and glibc.
下載軟件:從http://www.ossec.net 上下載最新的OSSEC
源代碼包����;
2. 安裝服務(wù)器:
1). 選擇一臺(tái)服務(wù)器作為OSSEC服務(wù)器;
2). 將OSSEC源代碼包拷貝到該服務(wù)器并解壓;
3). 進(jìn)入OSSEC目錄并運(yùn)行install.sh開始安裝(如果想讓ossec支持mysql,則在安裝前先需入src目錄下執(zhí)行make setdb命令,如果想讓ossec支持更多代理,在src目錄下執(zhí)行make setmaxagents命令,ossec目前最大只支持2048個(gè)客戶端,并且大多數(shù)系統(tǒng)對(duì)最大文件數(shù)有限制���,我們可以通過ulimit -n 2048來增加系統(tǒng)支持的最大文件數(shù)(或者sysctl -w kern.maxfiles=2048;
4). 在提示輸入安裝類型時(shí),輸入server;
5). 在提示輸入安裝路徑時(shí),輸入/opt/ossec;
6). 在提示是否希望接收E-MAIL通告時(shí), 接受默認(rèn)值, 并在接下來的提示中依次輸入用來接收OSSEC 通告的E-MAIL地址, 郵件服務(wù)器的名字或IP地址,我這里是選擇localhost作為mta,然后通過設(shè)置/etc/alias別名列表來將郵件轉(zhuǎn)發(fā)到我指定的郵箱;
7). 其它提示接受默認(rèn)值;
3. 安裝代理:
1). 將OSSEC源代碼包拷貝到某臺(tái)欲在其上安裝OSSEC代理的linux服務(wù)器上并解壓;
2). 進(jìn)入OSSEC目錄并運(yùn)行install.sh開始安裝;
3). 在提示輸入安裝類型時(shí),輸入agent;
4). 在提示輸入安裝路徑時(shí),輸入/opt/ossec;
5). 在提示輸入服務(wù)器IP地址時(shí)輸入我們的OSSEC服務(wù)器的IP地
址;
6). 其它提示接受默認(rèn)值;
在欲在其上安裝OSSEC代理的所有l(wèi)inux服務(wù)器執(zhí)行1) – 6)
三.配置
1. 在OSSEC服務(wù)器上運(yùn)行 /opt/ossec/bin/manage-agents;
2. 在某個(gè)OSSEC代理上運(yùn)行 /opt/ossec/bin/manage-agents;
3. 在OSSEC服務(wù)器的主菜單下輸入A/a 增加一個(gè)代理, 為該代理輸入一個(gè)容易區(qū)別的名字(比如其hostname), 并輸入其IP 地址;
4. 在主菜單下輸入E/e 為該代理生成密鑰;
5. 在該OSSEC代理的主菜單下輸入I/i 準(zhǔn)備導(dǎo)入OSSEC服務(wù)器生成的密鑰;
6. 將OSSEC服務(wù)器生成的密鑰復(fù)制到OSSEC代理;
7. 按Q/q鍵退出OSSEC服務(wù)器和代理, 并重新啟動(dòng)OSSEC服務(wù)器和代理(分別在OSSEC服務(wù)器和代理所在的服務(wù)器上執(zhí)行/etc/init.d/ossec restart)
在欲在其上配置OSSEC代理的所有l(wèi)inux服務(wù)器執(zhí)行2) – 7)
OSSEC安裝
8. ossec安裝完后��,默認(rèn)會(huì)在$directory生成如下幾個(gè)目錄:active-response,bin,etc,logs,queue, rules,stats,tmp,var,主要配置文件為/$directory/etc/ossec.conf���,$directory為你ossec安裝目錄���,每個(gè)選項(xiàng)的詳細(xì)說明請(qǐng)見:http://www.ossec.net/en/manual.html#installorder。規(guī)則文件目錄為 /$directory/rules
四.FAQ
Question 1:
如何配置ossec在主動(dòng)響應(yīng)中不阻止特定ip
A:將特定ip列表加入etc/ossec.conf中的<white-list>ips</white-list>
如我們不想讓192.168.10.0/24網(wǎng)段的所有主機(jī)觸發(fā)ossec主動(dòng)響應(yīng)的命令�����,編輯/var/ossec/etc/ossec.conf,按如下方式填寫即可
<global>
<white-list>127.0.0.1</white-list>
<white-list>192.168.10.0/24</white-list>
</global>
Question 2
如何使ossec支持mysql
A:要使用ossec支持mysql��,首先編譯時(shí)我們需進(jìn)入src目錄下執(zhí)行:make setdb命令���,然后cd ..返回上一級(jí)目錄���,再執(zhí)行package/install.sh按上面所列方法安裝
Question 3
我smtp server設(shè)置正確,但為何我收不到ossec主機(jī)所發(fā)的郵件��,在郵件日志中老顯示連接超時(shí)���。
A: ossec原則上不要求在本地架設(shè)mta服務(wù)器��,但我們知道����,為了防止垃圾,基本上所有郵件服務(wù)器都關(guān)閉了open relay,然我們的ossec并沒有為smtp認(rèn)證提供username與password設(shè)置選項(xiàng)�����,這就使我們?cè)谶x擇其它smtp 服務(wù)器時(shí)無法指定用戶名與密碼��,因此我的做法是設(shè)置ossec發(fā)信給root@localhost��,然后在本地郵件服務(wù)器別名列表中���,將所有轉(zhuǎn)發(fā)給 root的信件再轉(zhuǎn)發(fā)給我所希望的email地址。
Question 4
如何設(shè)置ossec同時(shí)去監(jiān)檢多個(gè)日志文件
A:有時(shí)��,我們同時(shí)有多個(gè)日志文件希望被監(jiān)測(cè)��,但又不想一個(gè)個(gè)輸入ossec.conf配置文中���。其實(shí)我可以利用ossec的posix規(guī)則表達(dá)示來達(dá)到你的目的����。如假如你有如下幾個(gè)日志文件:
/var/log/host1/xx.log,yy.log,zz.log
/var/log/host2/xx.log,aa.log
/var/log/host3/zz.log,abc.log
/var/log/hostn/bb.log,xyz.log
我們可以這樣設(shè)置
<localfile>
<log_format>syslog</log_format>
<localtion>/var/log/host*/*.log</location>
</localfile>
Question 5
我采用的是S/C安裝方式���,并且巳按正確方法在服務(wù)器上注冊(cè)的客戶機(jī)�,但ossec服務(wù)器與客戶無法還是無法通信
A:針對(duì)這個(gè)問題,a.首先我們要確定安裝順序是否正確���,一般我們是先安裝server����,然后是agent����,并且在服務(wù)器給agent生成密匙,再在agent上導(dǎo)入密匙����,注意在server上生成密匙時(shí)agent的ip地址千萬不能寫錯(cuò),否則無法通信����。
b.使用netstat -ntlup查看本機(jī)是否開啟了514,1514端口接受agent連接,如果端口還沒有打開,先/etc/init.d/syslog restart再查看���。請(qǐng)隨時(shí)查閱/var/ossec/logs/ossec.conf日志文件中的是志��。
c.如果你啟了防火墻�����,請(qǐng)一定要將514,1514的數(shù)據(jù)放行���,否則agent無法與server正常通信�����。
以上是我們個(gè)人使用ossec來一點(diǎn)實(shí)際經(jīng)驗(yàn),歡迎大家繼續(xù)加精
Question 6
如何檢測(cè)apache日志
我們可以這樣設(shè)置
<localfile>
<log_format>apache</log_format>
<localtion>你的apache日志目錄</location>
</localfile>
Question 7
我公司是動(dòng)態(tài)ip上網(wǎng)���,經(jīng)常被布署有ossec入侵檢測(cè)系統(tǒng)的外網(wǎng)維護(hù)服務(wù)器將其加入/etc/hosts.deny與iptables中
針對(duì)這個(gè)問題�����,我有專門寫一個(gè)腳本����,你可以參照它針對(duì)自己的網(wǎng)絡(luò)環(huán)境修改���,目前我的有了它之后一切運(yùn)行良好�����。 |
|
免費(fèi)注冊(cè)
發(fā)表于 2008-07-26 08:44
