CentOS 7 Ossec Server & Ossec Agent 連線設定

前言:
搭配上一篇:
Linux 安裝 Ossec Server

預先安裝:
編譯安裝Ossec Agent時,需要gcc

# yum install -y gcc

Ossec Agent 安裝步驟:

解壓縮檔案

# tar zxvf ossec-hids-2.9.0.tar.gz

切換目錄

# cd ossec-hids-2.9.0

選擇中文進行安裝

# ./install.sh

Ossec Server 與 Ossec Agent 設定-03.png

  • 選擇Agent安裝
  • 選擇安裝路徑
  • 設定Ossec Server IP
  • 是否使用系統完整性檢測模組
  • 是否使用rootkit檢測
  • 是否使用Active-Response

Ossec Server 與 Ossec Agent 設定-04.png

Ossec Server 建立金鑰:

# /var/ossec/bin/manage_agents

輸入"A"
設定名字(將來顯示再Web UI上面的)
給予IP
Agent ID 是 Ossec 識別的方式,皆為獨立
圖為範例(IP有更換過)
Ossec Server 與 Ossec Agent 設定-01

Ossec Server 匯出金鑰:

# /var/ossec/bin/manage_agents

輸入"E"
可以先將金鑰(紅框字串)複製起來,等一下Agent會使用到
圖為範例(IP有更換過)
Ossec Server 與 Ossec Agent 設定-02.png

Ossec Server 設定防火牆:
給予Ossec Agent連線使用

# firewall-cmd --add-port=1514/udp --permanent
# firewall-cmd --reload

Ossec Agent 匯入金鑰:
登入至已經安裝Ossec Agent的主機

# /var/ossec/bin/manage_agents

輸入"I"
貼上剛複製的金鑰

圖為範例(IP有更換過)
Ossec Server 與 Ossec Agent 設定-05.png

啟動Ossec Agent,並設定開機啟動:

# /var/ossec/bin/ossec-control start
# chmod +x /etc/rc.d/rc.local
# echo "/var/ossec/bin/ossec-control start &" >> /etc/rc.d/rc.local

透過Web UI檢查Agent是否加入:
Ossec Server 與 Ossec Agent 設定-06

透過CLI查詢Agent是否加入:

# /var/ossec/bin/agent_control -l

Ossec Server 與 Ossec Agent 設定-07

心得:
Ossec在Server的安全上,給予了相當大的協助
尤其使用Server配合Agent的使用下,能夠實現中央控管
並配合E-Mail下,提供即時的安全通知,對於管理員都是有益的

不過,必須提醒一下,這些監控工具僅是提供一個示警
依然需要管理員的安全觀念以及正確配置的系統
加上使用者提高警覺才能避免資訊安全的問題產生

也千萬不要有資料不重要就隨便管理的想法…因為你洩漏的資料或許只是你覺得不重要
但在其他人眼中可是非常重要的,切記切記

廣告

發表迴響

在下方填入你的資料或按右方圖示以社群網站登入:

WordPress.com 標誌

您的留言將使用 WordPress.com 帳號。 登出 /  變更 )

Google photo

您的留言將使用 Google 帳號。 登出 /  變更 )

Twitter picture

您的留言將使用 Twitter 帳號。 登出 /  變更 )

Facebook照片

您的留言將使用 Facebook 帳號。 登出 /  變更 )

連結到 %s