Centos 6.6 Install OSSEC

2016-08-27

前言

OSSEC是一款开源的基于主机的入侵检测系统，可以简称为HIDS。它具备日志分析，文件完整性检查，策略监控，rootkit检测，实时报警以及联动响应等功能。它支持多种操作系统：Linux、Windows、MacOS、Solaris、HP-UX、AIX。属于企业安全之利器。

环境
CentOS 6.6

安装关联库和软件
首先我们安装需要用到的关联库和软件，由于我们最终是需要把日志导入到MySQL中进行分析，以及需要通过web程序对报警结果进行展示，同时需要把本机当做SMTP，所以需要在本机安装MySQL、Apache和sendmail服务。在当前的终端中执行如下命令：
1
yum install wget gcc make mysql mysql-server mysql-devel httpd php php-mysql sendmail

启动服务

1
2
3

[root@ossec-server ~]# /etc/init.d/httpd start
[root@ossec-server ~]# /etc/init.d/mysqld start
[root@ossec-server ~]# /etc/init.d/sendmail start

Mysql相关配置

[root@ossec-server ~]# mysql -uroot -p
mysql> create database ossec;
mysql> grant INSERT,SELECT,UPDATE,CREATE,DELETE,EXECUTE on ossec.* to ossec@localhost;
mysql> set password for ossec@localhost=PASSWORD('ossec');
mysql> flush privileges;
mysql> exit

安装OSSEC服务端

首先通过官网的链接下载当前的最新稳定版本 2.8.3 的服务端包，同时解压。

wget https://akamai.bintray.com/87/87c7a1904d5c08c7cff3e42bd47c055b14b08faa?__gda__=exp=1465265745~hmac=3dacb2ddfc1c2aff8eeeff60f6c1ec8cbebf3dab98370b6894f3d87399be85ed&response-content-disposition=attachment%3Bfilename%3D%22ossec-hids-2.8.3.tar.gz%22&response-content-type=application%2Fgzip
重命名文件
mv 87c7a1904d5c08c7cff3e42bd47c055b14b08faa\?__gda__\=exp\=1465265745~hmac\=3dacb2ddfc1c2aff8eeeff60f6c1ec8cbebf3dab98370b6894f3d87399be85ed ossec.tar.gz
解压
[root@CentOS-6 ~]# tar -zxf ossec.tar.gz
[root@CentOS-6 ~]# ls
–                                         ossec-hids-2.8.3
anaconda-ks.cfg                           ossec.tar.gz

为了使OSSEC支持MySQL，需要在安装前执行make setdb命令，如下

[root@CentOS-6 ossec-hids-2.8.3]# cd src
[root@CentOS-6 src]# ls
addagent      error_messages    LOCATION      os_crypto    os_regex   syscheckd
agentlessd    external          logcollector  os_csyslogd  os_xml     tests
analysisd     headers           Makeall       os_dbd       os_zlib    util
client-agent  init              Makefile      os_execd     remoted    VERSION
config        InstallAgent.sh   monitord      os_maild     rootcheck  win32
Config.Make   InstallServer.sh  os_auth       os_net       shared
[root@CentOS-6 src]# make setdb
Info: Compiled with MySQL support.
Info: Compiled with PostgreSQL support.
[root@CentOS-6 src]# cd ..

执行安装脚本

[root@CentOS-6 ossec-hids-2.8.3]# ./install.sh
which: no host in (/usr/local/sbin:/usr/local/bin:/sbin:/bin:/usr/sbin:/usr/bin:/root/bin)
  ** Para instalação em português, escolha [br].
  ** 要使用中文进行安装, 请选择 [cn].
  ** Fur eine deutsche Installation wohlen Sie [de].
  ** Για εγκατάσταση στα Ελληνικά, επιλέξτε [el].
  ** For installation in English, choose [en].
  ** Para instalar en Español , eliga [es].
  ** Pour une installation en français, choisissez [fr]
  ** A Magyar nyelvű telepítéshez válassza [hu].
  ** Per l'installazione in Italiano, scegli [it].
  ** 日本語でインストールします．選択して下さい．[jp].
  ** Voor installatie in het Nederlands, kies [nl].
  ** Aby instalować w języku Polskim, wybierz [pl].
  ** Для инструкций по установке на русском ,введите [ru].
  ** Za instalaciju na srpskom, izaberi [sr].
  ** Türkçe kurulum için seçin [tr].
  (en/br/cn/de/el/es/fr/hu/it/jp/nl/pl/ru/sr/tr) [en]: cn
which: no host in (/usr/local/sbin:/usr/local/bin:/sbin:/bin:/usr/sbin:/usr/bin:/root/bin)

安装完成标识

感谢使用 OSSEC HIDS. 如果您有任何疑问,建议或您找到任何bug, 请通过　contact@ossec.net 或邮件列表 ossec-list@ossec.net 联系我们.
( http://www.ossec.net/en/mailing_lists.html ).
您可以在　http://www.ossec.net 获得更多信息
--- 请按　ENTER 结束安装 (下面可能有更多信息). ---
直到碰到上面内容，说明安装完成。

配置服务端，使其工作正常

执行下面命令启用数据库支持
1
[root@CentOS-6 bin]# /var/ossec/bin/ossec-control enable database
导入MySQL表结构到MySQL中
1
[root@CentOS-6 bin]# mysql -uossec -p ossec < ~/ossec-hids-2.8.3/src/os_dbd/mysql.schema
修改部分配置文件的权限，否则会启动服务失败：
1
[root@CentOS-6 etc]# chmod u+w /var/ossec/etc/ossec.conf
启动服务

1 2	[root@CentOS-6 /]# /etc/init.d/ossec-hids start Starting ossec-hids: [确定]