CentOS 7 安裝 Ossec Server (HIDS)

前言:
Ossec 是一套Open Source 的 HIDS (Host-based intrusion detection system)
初次接觸的話,可以先到官網看一下他們的簡介:
https://ossec.github.io/about.html
用來保護主機的一套監控軟體,對於一些異常行為會提出警告並紀錄
Ossec對於各式的異常行為以Level作為分級
另外也有Web UI可以作為查詢,算是一套相當完整的HIDS軟體

預先安裝:
編譯安裝Ossec需要gcc,http與php是給Web UI使用

# yum install -y httpd gcc php

設定防火牆

firewall-cmd --add-port=80/tcp --permanent
firewall-cmd --reload

Ossec Server 安裝步驟:
下載軟體
https://ossec.github.io/downloads.html
這邊示範是用CentOS 7當作Ossec Server
將軟體上傳預進行安裝的Server

解壓縮

# tar zxvf ossec-hids-2.9.0.tar.gz

切換目錄

# cd ossec-hids-2.9.0

選擇中文進行安裝

# ./install.sh

Linux 安裝 Ossec (HIDS)-01

依序為:

  • 選擇Server類型
  • 指定安裝路徑
  • 輸入e-mail
  • 輸入SMTP Server
  • 選擇是否使用系統完整性檢測模組
  • 選擇是否使用rootkit檢測
  • 是否使用Active Response
  • 是否使用Firewall-Drop
  • 是否接收syslog

Linux 安裝 Ossec (HIDS)-02
Linux 安裝 Ossec (HIDS)-03
Linux 安裝 Ossec (HIDS)-04

啟動Ossec,並設定開機啟動:

# /var/ossec/bin/ossec-control start
# chmod +x /etc/rc.d/rc.local
# echo "/var/ossec/bin/ossec-control start &" >> /etc/rc.d/rc.local

Ossec Web UI 安裝步驟:
解壓縮檔案

# tar zxvf ossec-wui-0.9.tar.gz

複製到預設的網頁資料夾

# cp -r ossec-wui-0.9 /var/www/html/

切換目錄

# cd /var/www/html

將資料夾名稱由ossec-wui-0.9變更為ossec

# mv ossec-wui-0.9 ossec
# cd ossec
# ./setup.sh

Linux 安裝 Ossec (HIDS)-06.png

# chown -R ossec:ossec ossec

設定Apache:

# vim /etc/httpd/conf/httpd.conf
    Options None
    AllowOverride None
    Require all granted
    AuthName "OSSEC Access"
    AuthType Basic
    AuthUserFile /var/www/html/ossec/.htpasswd
    Require valid-user

目錄請依照實際路徑設定,如下圖:
Linux 安裝 Ossec (HIDS)-06.png

# systemctl start httpd
# systemctl enable httpd

檢查Web UI,如下圖
Linux 安裝 Ossec (HIDS)-05.png

時間修正:

# vim /etc/php.ini

在[Date]下新增

date.timezone = "Asia/Taipei"

如圖:
Linux 安裝 Ossec (HIDS)-07

重新載入Apache以讓設定生效

# /sbin/service httpd graceful

心得:
Ossec算是一個相當實用的HIDS工具,如果有做PCIDSS應該都有機會使用到
安裝上面能夠單機使用,也能擁有Server,Agent的概念
在此先介紹Server的安裝過程,下次再介紹如何安裝Agent以及加入Server的作法

廣告

對「CentOS 7 安裝 Ossec Server (HIDS)」的一則回應

發表迴響

在下方填入你的資料或按右方圖示以社群網站登入:

WordPress.com 標誌

您的留言將使用 WordPress.com 帳號。 登出 /  變更 )

Google photo

您的留言將使用 Google 帳號。 登出 /  變更 )

Twitter picture

您的留言將使用 Twitter 帳號。 登出 /  變更 )

Facebook照片

您的留言將使用 Facebook 帳號。 登出 /  變更 )

連結到 %s