OSSEC搭建与环境配置Ubuntu

        尝试使用Ubuntu配置了OSSEC,碰见很多问题并解决了,发表博客让后来者不要踩那么多坑

环境 :

server :Ubuntu22.04 64位 内存4GB 处理器4 硬盘60G

agent: 1.Windows11 64位 2.Ubuntu22.04 64位

服务端配置

一、配置安装依赖项(server)

1. OSSEC依赖包 & mysql 环境

sudo apt-get install build-essential make zlib1g-dev libpcre2-dev
sudo apt-get install mysql-server libmysqld-dev
sudo apt-get install libevent-dev
sudo apt-get install libsystemd-dev
sudo apt-get install libssl-dev
sudo apt install libsystemd-dev

2. 安装Apache并配置防火墙

sudo apt update
sudo apt install apache2

确保防火墙允许HTTP和HTTPS流量。 可以检查UFW是否具有Apache的应用程序配置文件,如下所示

sudo ufw app list

查看Apache Full配置文件,它应该显示它启用到端口80和443流量:

sudo ufw app info "Apache Full"

允许此配置文件的传入HTTP和HTTPS流量:

sudo ufw allow in "Apache Full"

 3. 安装PHP

sudo apt install php libapache2-mod-php php-mysql

 二、下载安装OSSEC

1、下载最新发行版 or 3.7.0版本

可以选择一个稳定的版本下载,我使用的是 3.7.0版本

git clone https://github.com/ossec/ossec-hids  下载最新版本wget https://github.com/ossec/ossec-hids/archive/3.7.0.tar.gz  下载3.7.0版本
tar -zxvf 3.7.0.tar.gz

 2、进入目录,运行install.sh

cd ossec-hids-3.7.0
sudo ./install.sh

3、开启OSSEC

 sudo /var/ossec/bin/ossec-control start

三、配置OSSEC 

默认的OSSEC配置文件位于/var/ossec/etc/ossec.conf。

默认情况下,当一个新文件添加到服务器时,OSSEC不会发送电子邮件警告。

我们需要修改配置文件

nano /var/ossec/etc/ossec.conf

替换以下代码

<syscheck> <!-- Frequency that syscheck is executed - default to every 22 hours --> <frequency>79200</frequency> 

替换为: 

<syscheck> <!-- Frequency that syscheck is executed - default to every 60 seconds --> <frequency>60</frequency> <alert_new_files>yes</alert_new_files>

默认情况下,OSSEC不会发送实时警报。要启用此设置,请查找以下行

<!-- Directories to check (perform all possible verifications) --> 
<directories check_all="yes">/etc,/usr/bin,/usr/sbin</directories> 
<directories check_all="yes">/bin,/sbin</directories>

替换为:

<directories report_changes="yes" realtime="yes" check_all="yes">/etc,/usr/bin,/usr/sbin</directories> 
<directories report_changes="yes" realtime="yes" check_all="yes">/var/www,/bin,/sbin</directories>

完成后,保存 Ctrl+S  关闭Ctrl+X文件。

可以需要编辑规则文件local_rules.xml,并为添加到系统中的新文件添加规则。

nano /var/ossec/rules/local_rules.xml

之间添加以下规则部分:

<rule id="554" level="7" overwrite="yes"> <category>ossec</category> <decoded_as>syscheck_new_entry</decoded_as> <description>File added to the system.</description> <group>syscheck,</group> 
</rule>

保存文件。然后,重新启动OSSEC控制服务来应用所有更改

/var/ossec/bin/ossec-control restart

四、安装OSSEC Web UI 

OSSEC HIDS有一个简单的WebUI界面,需要下载。这里有一个坑,如果下载原版本的UI在高php版本会出现无法出现控制页面的BUG,因为这个UI界面是在很早之前做的已经不支持高版本的PHP所以需要修改PHP源码或者是降低PHP版本。寻找到了一个修改后的UI版本

git clone https://github.com/ossec/ossec-wui.git   原版本
git clone https://github.com/H3L0Studios/Ossec-WUI-Fixed.git 修改后的版本
cd Ossec-WUI-Fixed
tar -zxvf ossec-wui.tar.gz 解压

 把文件复制到Apache的目录

cp -r ossec-wui  /var/www/html/ossec

进入并开始安装

cd /var/www/html/ossec
sudo ./setup.sh

出现如下界面,设置好用户名密码即可:

设置管理员用户名/密码和Web服务器用户名:
trap: SIGHUP: bad trapSetting up ossec ui...Username: adminNew password: <ENTER PASSWORD>Re-type new password:<CONFIRM PASSWORD>Adding password for user admin@123Enter your web server user name (e.g. apache, www, nobody, www-data, ...)www-dataYou must restart your web server after this setup is done.Setup completed successfully.

启用Apache重写模块:

sudo a2enmod rewrite
sudo systemctl restart apache2

 查看Apache运行状态:

sudo systemctl status apache2.service

在Web浏览器中打开http://IP/ossec 进入管理面板 

(此处是加了agent后的图)

五、服务端添加代理端主机 

1.进入配置环境

/var/ossec/bin/manage_agents
****************************************
* OSSEC HIDS v3.8.0 Agent manager.     *
* The following options are available: *
****************************************(A)dd an agent (A). 添加agent(E)xtract key for an agent (E). 导出agent的key(L)ist already added agents (L). 列出存在的已经添加的agent(R)emove an agent (R). 删除agent(Q)uit. 离开
Choose your action: A,E,L,R or Q: q
# 在出现的选择中选A,添加agent,分别给填写:
test   #自己取的名字
192.168.159.1   #agent服务器的IP
001            #自己规定的ID
/var/ossec/bin/manage_agents
# 在出现的选择中选E,在随后的提示里输入ID号:001
就能得到ID为001的agent主机的KEY

客户端配置

windows 客户端

Download OSSEC - OSSEC

进入官网下载agent客户端

下载安装,以管理员打开

填写服务端的IP和前面获得的key

成功连接

可以去UI界面查看 (截图不太一样因为第一次搞的时候翻车了)

Linux客户端

1.安装依赖包(与上面一样不过不需要安装apche和php

2.下载最新发行版 or 3.7.0版本

可以选择一个稳定的版本下载,我使用的是 3.7.0版本

git clone https://github.com/ossec/ossec-hids  下载最新版本wget https://github.com/ossec/ossec-hids/archive/3.7.0.tar.gz  下载3.7.0版本
tar -zxvf 3.7.0.tar.gz

3.进入目录,运行install.sh

sudo ./install.sh

4.安装的时候选择agent 后输入服务端IP地址即可

1- 您希望哪一种安装 (server, agent, local or help)? agent- 选择了 Agent(client) 类型的安装.2- 正在初始化安装环境.- 请选择 OSSEC HIDS 的安装路径 [/var/ossec]: /var/ossec- OSSEC HIDS 将安装在  /var/ossec .3- 正在配置 OSSEC HIDS.3.1- 请输入 OSSEC HIDS 服务器的IP地址或主机名: 服务器的IP地址- 添加服务器IP  服务器的IP地址3.2- 您希望运行系统完整性检测模块吗? (y/n) [y]: y- 系统完整性检测模块将被部署.3.3- 您希望运行 rootkit检测吗? (y/n) [y]: y- rootkit检测将被部署.3.4 - 您希望开启联动(active response)功能吗? (y/n) [y]: y

开启OSSEC

 sudo /var/ossec/bin/ossec-control start

5.导入生成的KEY 

/var/ossec/bin/manage_agents

将服务端生成的KEY,在客户端中导入

6.开启OSSEC

 sudo /var/ossec/bin/ossec-control start

注意要先导入key再启动不然会出现

ossec-syscheckd(1210): ERROR: Queue '/var/ossec/queue/ossec/queue' not accessible: 'Connection refused'.

成功导入Linux agent

问题解决

OSSEC Web UI 出现无法打开管理面板问题

前面已经提到了这里做个总结,下载原版本的UI在高php版本会出现无法出现控制页面的BUG,因为这个UI界面是在很早之前做的已经不支持高版本的PHP所以需要修改PHP源码或者是降低PHP版本。

添加agent连接不上的情况

添加的agent连不上可能的原因是1.网络不通,可以互相ping一下,或者是2.防火墙的问题,也可能是agent设置文件可以参考这篇使用文档

Agent systems behind NAT or with dynamic IPs (DHCP) — OSSEC

解决方法3: agent服务器的IP选择any

# 在出现的选择中选A,添加agent,分别给填写:
test2   #自己取的名字
any     #agent服务器的IP
002            #自己规定的ID
/var/ossec/bin/manage_agents
# 在出现的选择中选E,在随后的提示里输入ID号:001
就能得到ID为002的agent主机的KEY
设置为any都可以连接上

如果都不是可以自行查阅日志发现问题

tail -n 100 /var/ossec/logs/ossec.log

Linux agent 导入KEY报错:manage_agents: ERROR: Cannot unlink /queue/rids/sender: No such file or directory

需要在rids下创建sender 文件

touch /var/ossec/queue/rids/sender

再进行导入KEY

/var/ossec/bin/manage_agents

参考文献

Ubuntu安装OSSEC和OSSEC Web UI_ubuntu安装ossec+-CSDN博客

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.rhkb.cn/news/423990.html

如若内容造成侵权/违法违规/事实不符,请联系长河编程网进行投诉反馈email:809451989@qq.com,一经查实,立即删除!

相关文章

电源模块测试系统中都可以定制哪些内容?

在电源测试系统中&#xff0c;可以定制的内容相当广泛&#xff0c;以满足不同客户、不同应用场景下的特定需求。以下是一些常见的可定制内容&#xff1a; 1. 测试项目 对于电源模块的基础测试项目而言&#xff0c;一般都无需定制基础测试项目&#xff0c;因为电源模块测试的基…

(k8s)kubernetes 挂载 minio csi 的方式(pod挂载pvc存在csi驱动问题,挂载不上)

一、安装Minio&#xff08;Minio分布式集群搭建部署_minio集群最少几台-CSDN博客&#xff09; 生成accessKeyID和secretAccessKey&#xff1a; 二、安装csi-s3插件(在k8s集群上) 首先我们把插件的yaml文件都下载下来&#xff0c;为了保证版本测试的一致性&#xff0c;我们下载…

idea中java及java web项目的常见问题

1、乱码问题&#xff0c;主要有几处地方&#xff0c;需要检查。 ①确保文件编码&#xff0c;其实主要就是在idea启动文件中&#xff0c;增加了 -Dfile.encodingUTF-8的设置 ②编辑器默认编码&#xff0c;都改为UTF-8 ③Tomcat的运行配置&#xff0c;编码也改为UTF-8,同样使用…

Excel文档的读取(1)

熟悉使用Excel的同学应该都知道&#xff0c;在单个Excel表格里想要分商品计算总销售额&#xff0c;使用数据透视表也可以非常快速方便的获得结果。但当有非常大量的Excel文件需要处理时&#xff0c;每一个Excel文件单独去做数据透视也会消耗大量的时间。就算使用Power Query这样…

TCP套接字【网络】

文章目录 代码 创建套接字&#xff1a;&#xff08;TCP/UDP) int socket(int domain, int type, int protocol);inet_aton&#xff0c;将字符串IP转换成整数IP int inet_aton(const char *cp, struct in_addr *inp);监听套接字&#xff1a;&#xff08;TCP&#xff0c;服务器…

Vue - 详细介绍vue-qr在线生成二维码组件(Vue2 Vue3)

Vue - 详细介绍vue-qr在线生成二维码组件&#xff08;Vue2 & Vue3&#xff09; 在对于二维码生成中有许多组件&#xff0c;下面介绍关于自定义比较高的vue-qr组件&#xff0c;能自定义设置背景颜色、背景图片、背景Gif图、实点和空白区的颜色、中心Logo的图片和边距。 一…

Windows 的 docker 删除容器后 WSL2 磁盘空间不释放的问题

1&#xff1a;Windows 的 docker 删除容器后 WSL2 磁盘空间不释放的问题&#xff0c;成功搞定 见这里的文章&#xff1a; https://blog.csdn.net/ppppppppila/article/details/139653675 2&#xff1a; 重装Docker desktop 或者 当打开Docker Desktop时候&#xff0c;启动dock…

新能源汽车 BMS 学习笔记篇——如何选择继电器 MOS 管作为开关

序&#xff1a;继电器和 MOSFET&#xff08;俗称 MOS 管&#xff09;都可以用作 BMS&#xff08;Battery Management System&#xff0c;电池管理系统&#xff09; 中控制电池充放电的开关&#xff0c;但它们在原理、结构和特性上存在一些区别&#xff0c;以下总结它们之间主要…

什么是APT攻击,有哪些防御策略

在数字化时代&#xff0c;网络安全已成为国家、企业和个人不可忽视的重要议题。其中&#xff0c;高级持续性威胁&#xff08;APT&#xff09;攻击以其隐蔽性强、攻击规模大、持续时间长等特点&#xff0c;成为网络安全领域最为棘手的问题之一。面对APT攻击的严峻挑战&#xff0…

27 顺序表 · 链表

目录 一、单链表 &#xff08;一&#xff09;概念 1、节点 2、链表的性质 &#xff08;二&#xff09;单链表的实现 &#xff08;三&#xff09;单链表算法题 1、移除链表元素 2、反转链表 3、链表的中间节点 4、合并两个有序的单链表 5、链表分割 6、链表的回文结构…

vue3+ant design vue实现可编辑表格弹出气泡弹出窗~

1、这里主要是介绍下::v-deep伪元素的作用。用于穿透组件作用域&#xff0c;以便在组件内部修改样式。用来覆盖Ant Design Vue组件库中的样式 <a-table:dataSource"dataList":columns"columns":scroll"{ x: 100% }":pagination"false&q…

react-intl——react国际化使用方案

国际化介绍 i18n&#xff1a;internationalization 国家化简称&#xff0c;首字母首尾字母间隔的字母个数尾字母&#xff0c;类似的还有 k8s(Kubernetes) <br /> React-intl是 React 中最受欢迎的库。 使用步骤 安装 # use npm npm install react-intl -D # use yarn项目…

6.6高斯噪声

在OpenCV联合C中给一张图片添加高斯噪声&#xff08;Gaussian Noise&#xff09;&#xff0c;可以通过生成随机数并在图像的每个像素上加上这些随机数来实现。高斯噪声是一种统计分布服从正态分布的噪声&#xff0c;通常用于模拟自然界的许多物理现象。 示例代码 以下是一个使…

云曦2024秋季开学考

ezezssrf 第一关&#xff1a;md5弱比较 yunxi%5B%5D1&wlgf%5B%5D2 第二关&#xff1a; md5强比较 需要在bp中传参&#xff0c;在hackbar里不行 yunxiiM%C9h%FF%0E%E3%5C%20%95r%D4w%7Br%15%87%D3o%A7%B2%1B%DC V%B7J%3D%C0x%3E%7B%95%18%AF%BF%A2%00%A8%28K%F3n%8EKU%B3_B…

华为HCIA、HCIP和HCIE认证考试明细

华为认证体系包括三个主要等级&#xff1a;HCIA&#xff08;华为认证ICT助理&#xff09;、HCIP&#xff08;华为认证ICT高级工程师&#xff09;和HCIE&#xff08;华为认证ICT专家&#xff09;。每个等级的认证都有其特定的考试内容和费用。 HCIA&#xff08;华为认证ICT助理…

Excel 基础知识-操作手册2

十、查找与引用函数 Excel中的查找与引用函数非常丰富&#xff0c;以下是一些主要的函数及其使用示例&#xff1a; 1. **VLOOKUP** - 语法&#xff1a;VLOOKUP(lookup_value, table_array, col_index_num, [range_lookup]) - 示例&#xff1a;假设A列是员工编号&#xff0c;B…

国际快递跟集运有什么区别?怎么做才能好集运?

在国际物流的舞台上&#xff0c;海外集运和国际快递是两种备受瞩目的运输方式&#xff0c;那两者之间有什么区别呢&#xff1f; 国际快递其实类似于国内快递&#xff0c;只是运输终点是海外。一般由公司或个人直接向海外邮寄&#xff0c;采用飞机运输&#xff0c;3 - 5 天就能…

IntelliJ IDE 插件开发 | (十二)自定义项目脚手架(上)

系列文章 本系列文章已收录到专栏&#xff0c;交流群号&#xff1a;689220994&#xff0c;也可点击链接加入。 前言 在开发创建一个新项目的时候&#xff0c;我们一般都会使用平台自带的脚手架&#xff0c;如下图所示&#xff1a; 或者是使用网页版&#xff1a; 尽管平台已经…

先楫HPM6750 Windows下VSCode开发环境配置

用的是EVKmini&#xff0c;ft2232作为调试器jtag接口调试 启动start_gui.exe 以hello_world为例&#xff0c;更改一下build path&#xff0c;可以generate并使用gcc compile 最后会得到这些 点击start_gui里面的命令行&#xff0c;用命令行启动vscode 新建.vscode文件夹&…

如何让Windows控制台窗口不接受鼠标点击(禁用鼠标输入)

一、简述 在我们编写控制台应用程序时&#xff0c;默认情况下程序的打印输出会在控制台窗口中进行显示&#xff0c;我们在写服务功能时在窗口中会不断打印消息输出&#xff0c;这个时候如果使用鼠标点击了控制台窗口&#xff0c;会阻塞程序的继续运行&#xff0c;导致我们的程…