Ossec企业入侵检测系统快速部署

Ossec入侵检测检测系统快速部署

官方：http://www.ossec.net

环境规划：

节点	hostname	IP
server	linux-node20	10.211.55.20
client	linux-node21	10.211.55.21

1、server部署，./install.sh按照提示一直下一步就可以了。

wget https://github.com/ossec/ossec-hids/archive/2.9.2.tar.gz #服务端跟客户端的安装使用同一个包
[root@linux-node20 ~]# tar zxf 2.9.2.tar.gz
[root@linux-node20 ~]# cd ossec-hids-2.9.2/
[root@linux-node20 ossec-hids-2.9.2]# ./install.sh #选server，然后根据提示下一步完成安装。

注：每次交互式模式安装就特别的麻烦，所以先在服务端修改在/etc/preloaded-vars.conf预批量配置实现非交互模式安装
查看修改的：

etc]# egrep -v "^#|^$" preloaded-vars.conf
USER_LANGUAGE="en" # For english
USER_NO_STOP="y"
USER_INSTALL_TYPE="agent"
USER_DIR="/data/ossec"
USER_ENABLE_ACTIVE_RESPONSE="y"
USER_ENABLE_SYSCHECK="y"
USER_ENABLE_ROOTCHECK="y"
USER_AGENT_SERVER_IP="10.211.55.20"
USER_ENABLE_SYSLOG="y"
USER_ENABLE_FIREWALL_RESPONSE="y"
[root@linux-node20 etc]# scp -rp preloaded-vars.conf root@10.211.55.21:/data/ossec/etc #拷贝到客户端实现非交互模式安装

2、client部署直接./install.sh，这样就实现非交互式模式了。

[root@linux-node21 ossec-hids-2.9.2]# ./install.sh

注：ossec服务端跟客户端安装完成后，我们知道在ossec中，客户端需要先注册到服务端上，才可以正常启动和被服务端管理。

3、如果每个客户端都需要服务端生成密钥然后客户端导入那就很啃爹，所以使用ossec-authd完成客户端自动注册

https://www.ossec.net/docs/manual/agent/agent-management.html#managing-agents #官方的手动注册链接，这里不讲忽略。

Ossec-authd会提供一个临时的注册接口，自动接收客户端的连接并自动为客户端生成对应的秘钥。该过程不需要认证，所以在ossec-authd启动的这个期间任何网络可达的客户端都可以注册到服务上来。由于没有认证，所以只在部署的时候开启或者设置iptable规则。
ossec-authd自动注册官方文档：

https://www.ossec.net/docs/programs/agent-auth.html
https://www.ossec.net/docs/programs/ossec-authd.html#ossec-authd #服务端creating SSL keys

在服务端操作：

Creating SSL Keys

[root@linux-node20 ~]# openssl genrsa -out /data/ossec/etc/sslmanager.key 2048 #生成私钥
[root@linux-node20 ~]# openssl req -new -x509 -key /data/ossec/etc/sslmanager.key -out /data/ossec/etc/sslmanager.cert -days 365 #生成公钥
#上面密钥对生成后会生成一个ossec-authd命令

服务端启动自动注册接口

[root@linux-node20 ~]# /data/ossec/bin/ossec-authd -p 1515

切换到客户端操作：

#/data/ossec/bin/agent-auth -m 10.211.55.20 -p 1515 -A example-agent
[root@linux-node21 ~]# /data/ossec/bin/agent-auth -m 10.211.55.20 -p 1515
#注：客户端注册-A是取名字，这里不要使用，让系统默认以自己的hostname去注册比较好(所有客户端批量注册后，然后关掉服务端，避免被其它不知道的客户端注册)

到这里整个安装并自动注册的过程基本完成。

服务端跟客户端启动：

[root@linux-node20 ~]# /data/ossec/bin/ossec-control start
[root@linux-node21 ~]# /data/ossec/bin/ossec-control start

查看管理客户端：

[root@linux-node20 ~]# /data/ossec/bin/agent_control -lc

OSSEC HIDS agent_control. List of available agents:
   ID: 000, Name: linux-node20 (server), IP: 127.0.0.1, Active/Local
   ID: 1024, Name: linux-node21, IP: any, Active

posted @ 2018-11-28 17:20 ShenghuiChen 阅读(933) 评论(0) 编辑收藏举报

会员力量，点亮园子希望

刷新页面返回顶部

留白

Ossec企业入侵检测系统快速部署

Ossec入侵检测检测系统快速部署

1、server部署，./install.sh按照提示一直下一步就可以了。

2、client部署直接./install.sh，这样就实现非交互式模式了。

3、如果每个客户端都需要服务端生成密钥然后客户端导入那就很啃爹，所以使用ossec-authd完成客户端自动注册

公告