Σύνδεση
Μενού

Εγκατάσταση OSSEC σε linux Server

Ιστοσελίδα: http://www.ossec.net/

Περιγραφή: Το OSSEC είναι ένα ανοιχτού κώδικα σύστημα ανίχνευσης εισβολής. Εκτελεί log analysis, integrity checking, Windows registry monitoring, rootkit detection, time-based alerting και εχει active response

Αυτό το εργαλείο θα κάνει αυτόματη ανίχνευση του συστήματός σας, και να σας στείλνει μηνύματα, όταν συμβει κατι παράξενο.
Θα σας στέλνει mail από το επίπεδο 1 εώς το επίπεδο 10, αναλογα τα rule που θα του δωσουμε

Βήμα 1: Εγκατάσταση OSSEC από την Πηγή

Code: Select all
wget http://www.ossec.net/files/ossec-hids-2.4.1.tar.gz

Βήμα 2: Τώρα το config, είναι οι επιλογές που σημειώνονται με κόκκινο κείμενο

Choice 1:
(en/br/cn/de/el/es/fr/it/jp/pl/ru/sr/tr) [en]:

Choice 2:
1- What kind of installation do you want (server, agent, local or help)?
Choice 3:
- Choose where to install the OSSEC HIDS [/var/ossec]:

Choice 4:
3.1- Do you want e-mail notification? (y/n) [y]:

Choice 4.1:
- What?s your e-mail address?

Choice 4.2: Installer will try to find you smtp server that belongs to your email. Choose NO and use localhost if you have sendmail running on your server.
- Do you want to use it? (y/n) [n]:

Choice 4.3:
- What?s your SMTP server ip/host?
Choice 5:
3.2- Do you want to run the integrity check daemon? (y/n) [y]:

Choice 6:
3.3- Do you want to run the rootkit detection engine? (y/n) [y]:

Choice 7:
- Do you want to enable active response? (y/n) [y]:

Choice 8:
- Do you want to enable the firewall-drop response? (y/n) [y]:

Choice 9: Choose Yes if you want to add more IPs to the whitelist. Else NO to continue
- Do you want to add more IPs to the white list? (y/n)? [y]:

για να ξεκινήσετε το OSSEC

Code:
/var/ossec/bin/ossec-control start

για να σταματήστε το OSSEC

Code:
/var/ossec/bin/ossec-control stop

για περαιτέρω ρυθμίσεις,και να επεξεργαστείτε το αρχείο ρυθμίσεων

Code:
nano -w /var/ossec/etc/ossec.conf

ρύθμισης παραμέτρων για να τρέχουν παράλληλα OSSEC και CSF

Ανοίξτε το config για επεξεργασία

Code:
nano -w /var/ossec/etc/ossec.conf

εντοπίστε ?Files/directories to ignore?, και προσθεστε τις γραμμες

Code:
/etc/prelink.cache
/etc/csf/csf.temppids
/etc/csf/csf.tempban
/etc/csf/csf.tempint
/etc/csf/stats/iptables_log
/etc/csf/csf.dshield
/etc/csf/csf.tempip
/etc/csf/csf.deny
/etc/csf/csf.tempfiles
/etc/csf/csf.spamhaus

Επανεκκίνηση OSSEC όταν γίνει η επεξεργασία

Code:
/var/ossec/bin/ossec-control restart