CentOS7下OSSEC(v3.6.0)安装及配置(图文)

一、安装前说明

OSSEC是一款开源的多平台基于主机的入侵检测系统，可以简称为HIDS。它具备日志分析，文件完整性检查，策略监控，rootkit检测，实时报警以及联动响应等功能。它支持多种操作系统：Linux、Windows、MacOS、Solaris、HP-UX、AIX。属于企业安全之利器。OSSEC默认具有一个ossec-logtest工具用于测试OSSEC的泛化及告警规则。该工具一般默认安装于目录 /var/ossec 中。

• S/C运行模式，类似于zabbix

• 支持Alert logging、firewall logging and event (archiving) logging

• server开通udp514（rsyslog），udp1514（ossec-remoted）端口监听，client会把实时状态数据发给server

• 集成fail2ban,iptables过滤，错误日志分析

环境：

本文使用两台CentOS 7.8 x64虚拟机，一台为Server端，一台为Agent端

Server IP：192.168.168.100

Server Hostname：Test

Agent IP：192.168.168.103

Agent Hostname：Test1

关闭SElinux！

防火墙设置：CentOS 7.8默认使用firewall，本文中禁用firewall，使用iptables。Server端开启OSSEC通信的udp 514、1514端口；开启APACHE(WEB界面)端口，默认是TCP 80端口，本文中修改为8080。

本文中不使用MySQL数据库存储。

Server服务端操作

二、安装及配置OSSEC-Server服务端

1.基础环境

## 初始化环境安装，安装编译库，以及数据库支持库

rpm -ivh http://dl.fedoraproject.org/pub/epel/epel-release-latest-7.noarch.rpm
yum -y install gcc make pcre2 pcre2-devel libevent-devel zlib-devel sendmail sqlite-devel openssl-devel postgresql-devel 

2.安装OSSEC-Server

## 下载

cd /data/tools
wget -O ossec-hids-3.6.0.tar.gz https://github.com/ossec/ossec-hids/archive/3.6.0.tar.gz

## 解压并安装

tar xf ossec-hids-3.6.0.tar.gz
cd ossec-hids-3.6.0/
./install.sh

执行install.sh脚本，根据提示的选项填写

①您希望选择哪一种语言安装 (en/br/cn/de/el/es/fr/hu/it/jp/nl/pl/ru/sr/tr)? en （默认为 en）

②确认机器上已经正确安装了 C 编译器，及显示系统、用户、主机名等信息。按ENTER键继续。

③您希望哪一种安装 (server, agent, local or help)? server

④正在初始化安装环境. - 请选择 OSSEC HIDS 的安装路径 [/var/ossec]:

(本文中使用默认安装路径/var/ossec）

⑤配置 OSSEC HIDS.

## 您希望收到e-mail告警吗? (y/n) [y]: y //输入接收告警的e-mail地址及STMP地址。

## 您希望运行系统完整性检测模块吗? (y/n) [y]: y

## 您希望运行 rootkit检测吗? (y/n) [y]: y

## 关联响应允许您在分析已接收事件的基础上执行一个已定义的命令。例如,你可以阻止某个IP地址的访问或禁止某个用户的访问权限。您希望开启联动(active response)功能吗? (y/n) [y]: y

默认情况下, 我们开启了主机拒绝和防火墙拒绝两种响应。

第一种情况将添加一个主机到 /etc/hosts.deny.第二种情况将在iptables(linux)或ipfilter(Solaris,FreeBSD 或 NetBSD）中拒绝该主机的访问。该功能可以用以阻止 SSHD 暴力攻击, 端口扫描和其他一些形式的攻击。同样你也可以将他们添加到其他地方,例如将他们添加为 snort 的事件。

您希望开启防火墙联动(firewall-drop)功能吗? (y/n) [y]: y （显示联动功能默认的白名单，为系统配置的DNS地址）

## 您希望添加更多的IP到白名单吗? (y/n)? [n]: y

## 请输入IP (用空格进行分隔)，添加服务端及客户端的IP，后续也可在配置文件中修改

## 您希望接收远程机器syslog吗 (port 514 udp)? (y/n) [y]: y

## 设置配置文件以分析日志。如果你希望监控其他文件, 只需要在配置文件ossec.conf中添加新的一项。按 “ENTER” 继续 。

## 编译安装完成，省略编译输出。

启动 OSSEC HIDS：/var/ossec/bin/ossec-control start

停止 OSSEC HIDS：/var/ossec/bin/ossec-control stop

OSSEC系统配置文件：/var/ossec/etc/ossec.conf

## 请按"ENTER" 结束安装 (下面可能有更多信息)

## 为使代理能够连接服务器端, 您需要将每个代理添加到服务器。运行'manage_agents'来添加或删除代理

注：启动ossec服务端必须先添加一个客户端，否则直接启动服务端是会失败的。如下图所示

3.服务器上添加客户端，创建客户端Key

执行如下命令：

/var/ossec/bin/manage_agents

①添加客户端，填入客户端主机名、IP等信息。

②创建客户端Key

## 生成的Key，用于后面客户端的连接，需要记录保存。

MDAxIFRlc3QxIDE5Mi4xNjguMTY4LjEwMyAwNmMwMGM2YTRiMzI3MjQwMWE4NDhhODZmZGMxY2IyYjZlNjQ3OWE0NTk2MmYzY2MzMjhmZWZlMGI3OTc5MmMx

注：配置完成后，若OSSEC服务已启动，则需重新启动OSSEC服务才能使更改生效。

4.启动ossec服务端

/var/ossec/bin/ossec-control start

至此，服务端安装完毕。接下来在本地测试环境中的另一台虚拟机安装客户端，与安装服务端类似同样需要安装ossec。

Agent客户端操作

三、安装及配置ossec-agent客户端

1.基础环境安装（安装编译库）

rpm -ivh http://dl.fedoraproject.org/pub/epel/epel-release-latest-7.noarch.rpm
yum -y install gcc make pcre2 pcre2-devel libevent-devel zlib-devel

2.下载并安装

cd /data/tools
wget -O ossec-hids-3.6.0.tar.gz https://github.com/ossec/ossec-hids/archive/3.6.0.tar.gz
tar xf ossec-hids-3.6.0.tar.gz
cd ossec-hids-3.6.0/
./install.sh

执行install.sh脚本，根据提示的选项填写

①您希望选择哪一种语言安装 (en/br/cn/de/el/es/fr/hu/it/jp/nl/pl/ru/sr/tr)? en （默认为 en）

②确认机器上已经正确安装了 C 编译器，显示系统、用户、主机名等信息。按ENTER键继续。

③您希望哪一种安装 (server, agent, local or help)? agent

④初始化安装环境. - 请选择 OSSEC HIDS 的安装路径 [/var/ossec]:

(本文中使用默认安装路径/var/ossec）

⑤配置 OSSEC HIDS.

## 请输入 OSSEC HIDS 服务器的IP地址或主机名: 192.168.168.100

## 您希望运行系统完整性检测模块吗? (y/n) [y]: y

## 您希望运行 rootkit检测吗? (y/n) [y]: y

## 您希望开启联动(active response)功能吗? (y/n) [y]: y

## 设置配置文件以分析日志。如果你希望监控其他文件, 只需要在配置文件ossec.conf中添加新的一项。按“ENTER”继续 。

## 编译安装完成，省略编译输出。

启动 OSSEC HIDS：/var/ossec/bin/ossec-control start

停止 OSSEC HIDS：/var/ossec/bin/ossec-control stop

OSSEC系统配置文件：/var/ossec/etc/ossec.conf

## 请按“ENTER”结束安装 (下面可能有更多信息)

## 必须将该代理添加到服务器端以使他们能够相互通信。这样做了以后,您可以运行'manage_agents'工具导入服务器端产生的认证密匙。使用命令：/var/ossec/bin/manage_agents

3.配置Server与Agent客户端通信

Server和Agent之间建立通信需要通过认证，在Server端为Agent生成通讯密钥并导入Agent后才能完成信任关系，以及Server端需要开放UDP 1514通讯端口，接收Agent上报的信息。

## 创建sender空文件，否则会出现如下图所示的错误

touch /var/ossec/queue/rids/sender

/var/ossec/bin/manage_agents

## 执行I选项，输入key

4.启动客户端

/var/ossec/bin/ossec-control start

Server服务端操作

5.检查Agent是否可以通信

/var/ossec/bin/list_agents -c

备注：可以通过 /usr/local/ossec/bin/list_agents -h 查询更多Agent的状态信息

Server服务端操作

四、为ossec-server安装web界面(ossec-wui)

1.安装WEB环境(apache\php)

## 安装EPEL
rpm -Uvh https://dl.fedoraproject.org/pub/epel/epel-release-latest-7.noarch.rpm
## 安装PHP安装源，CentOS7系统yum默认安装的版本是5.4.x，版本低
rpm -Uvh https://mirror.webtatic.com/yum/el7/webtatic-release.rpm
## 安装APACHE及PHP
yum -y install httpd php56w php56w-fpm php56w-cli php56w-common php56w-gd php56w-mbstring php56w-mcrypt php56w-bcmath php56w-opcache php56w-pdo

2.下载ossec-wui并解压配置

cd /data/tools
wget -O ossec-wui-0.9.zip https://github.com/ossec/ossec-wui/archive/refs/tags/0.9.zip
unzip ossec-wui-0.9.zip
mv ossec-wui-0.9 /var/www/html/ossec
cd /var/www/html/ossec/
./setup.sh

## 自定义设置用户名及密码。本文中设置的用户及密码均为 admin 。

3.配置APACHE

 vi /etc/httpd/conf/httpd.conf 

## 在配置文件末尾新增以下设定(注：若配置是在httpd服务启动后修改的，需重启httpd服务。)

<Directory "/var/www/html/ossec">
        Options FollowSymLinks
        AllowOverride None
        Order deny,allow
        allow from all

        Options -MultiViews
        AuthName "OSSEC Access"
        AuthType Basic
        AuthUserFile /var/www/html/ossec/.htpasswd
        Require valid-user
</Directory>

4.配置PHP时区

vi /etc/php.ini 
//第889行
date.timezone = "Asia/Shanghai"

5.启动apache及php并配置开机启动

## apache

## 启动
systemctl start httpd
## 开机启动
systemctl enable httpd

## php

## 启动
systemctl start php-fpm
## 开机启动
systemctl enable php-fpm

6.访问测试

httpd默认使用80端口。本文中做了修改，使用8080端口（端口的修改本文中不做赘述）。

## 浏览器地址输入URL：http://192.168.168.100:8080/ossec，

## 输入上述设置的管理账号：admin，密码：admin

五、Ossec服务管理相关命令

## 启动：

/var/ossec/bin/ossec-control start
或  
/etc/init.d/ossec start

## 关闭：

/var/ossec/bin/ossec-control stop
或
/etc/init.d/ossec stop

## 重启：

/var/ossec/bin/ossec-control restart   
或   
/etc/init.d/ossec restart

## 查看状态：

/var/ossec/bin/ossec-control status
或   
/etc/init.d/ossec status

## Server端创建Agent客户端KEY：

/var/ossec/bin/manage_agents

## Agent客户端加入Server端：

/var/ossec/bin/manage_agents

## Server上检查Agent是否可以通信：

/var/ossec/bin/list_agents -c

## Server上查看agent客户端列表：

/var/ossec/bin/list_agents -a

## Server上查看agent控制端(即服务端)状态：

/var/ossec/bin/agent_control -lc

## 设置开机启动：(默认已配置开机启动)

chkconfig --level 2345 ossec on

六、OSSEC服务端配置

1.系统配置

修改配置文件：/var/ossec/etc/ossec.conf

1.1 Email 配置

<ossec_config>
 <global>
 				<email_notification>yes</email_notification>
				<email_to>ossecmoni@example.com</email_to>         ### 收件人
				<smtp_server>smtp.example.com</smtp_server>         ### SMTP Server
				<email_from>ossecm@example.com</email_from>     ### 寄件人
				<!-- <email_reply_to>replyto@ossec.example.com.</email_reply_to> -->
 </global>

1.2 告警轮循配置

<syscheck>
				<!-- Frequency that syscheck is executed -- default every 2 hours -->
				<frequency>600</frequency>           ### 每600秒一次轮循

1.3 新增程序部署路径配置

<!-- Directories to check (perform all possible verifications) -->
				 <directories check_all="yes">/etc,/usr/bin,/usr/sbin</directories>
 				<directories check_all="yes">/bin,/sbin,/boot</directories>
 				<directories check_all="yes">/var/www/html/ossec/</directories>   ### 程序部署路径

1.4 新增IP白名单配置

## 由于服务端安装过程中设置了支持接受远程机器的syslog，所以需要对ossec.conf文件中的syslog部分进行配置，修改ossec.conf文件，将需要收集的网段全添加进去。

<global>
				<white_list>127.0.0.1</white_list>
				<white_list>::1</white_list>
				<white_list>192.168.168.100</white_list>                                  ### 单IP
				<white_list>192.168.168.101, 192.168.168.102</white_list>      ### 多IP
				<white_list>192.168.168.0/24</white_list>                                ### CIDR区段IP
</global>

1.5 调整告警配置

  <alerts>
 					<log_alert_level>3</log_alert_level>
 					<email_alert_level>5</email_alert_level>
 					### Email告警包含低阶层错误以上(如， missed passwords, denied action, etc.)
  </alerts>

2.系统配置

修改配置文件：/var/ossec/rules/local_rules.xml

## 新增以下内容于 <group name="local,syslog,"> 内

  <rule id="550" level="7" overwrite="yes">       ### 档案修改
    <category>ossec</category>
    <decoded_as>syscheck_integrity_changed</decoded_as>
    <description>Integrity checksum changed.</description>
    <group>syscheck,</group>
  </rule>
  <rule id="553" level="7" overwrite="yes">       ### 档案删除
    <category>ossec</category>
    <decoded_as>syscheck_deleted</decoded_as>
    <description>File deleted. Unable to retrieve checksum.</description>
    <group>syscheck,</group>
  </rule>  
  <rule id="554" level="7" overwrite="yes">       ### 档案新增
    <category>ossec</category>
    <decoded_as>syscheck_new_entry</decoded_as>
    <description>File added to the system.</description>
    <group>syscheck,</group>
  </rule>