心得:
Ossec在Server的安全上,給予了相當大的協助
尤其使用Server配合Agent的使用下,能夠實現中央控管
並配合E-Mail下,提供即時的安全通知,對於管理員都是有益的

不過,必須提醒一下,這些監控工具僅是提供一個示警
依然需要管理員的安全觀念以及正確配置的系統
加上使用者提高警覺才能避免資訊安全的問題產生

前言:
搭配上一篇:
CentOS 7 安裝 Ossec Server (HIDS) (2019/07/24 更新內容)

預先安裝:
編譯安裝Ossec Agent時,需要gcc

# yum install -y gcc

當使用 ossec v 3.0 以上時,如果編譯安裝出現 Error 5,請安裝以下套件

# yum install pcre2-devel zlib-devel

Ossec Agent 安裝步驟:

解壓縮檔案

# tar zxvf ossec-hids-2.9.0.tar.gz

切換目錄

# cd ossec-hids-2.9.0

選擇中文進行安裝

# ./install.sh

當使用 ossec v 3.0 以上時,執行上出現問題。請使用以下指令進行看看

# PCRE2_SYSTEM=yes ./install.sh

Ossec Server 與 Ossec Agent 設定-03.png

  • 選擇Agent安裝
  • 選擇安裝路徑
  • 設定Ossec Server IP
  • 是否使用系統完整性檢測模組
  • 是否使用rootkit檢測
  • 是否使用Active-Response

Ossec Server 與 Ossec Agent 設定-04.png

Ossec Server 建立金鑰:

# /var/ossec/bin/manage_agents

輸入"A"
設定名字(將來顯示再Web UI上面的)
給予IP
Agent ID 是 Ossec 識別的方式,皆為獨立
圖為範例(IP有更換過)
Ossec Server 與 Ossec Agent 設定-01

Ossec Server 匯出金鑰:

# /var/ossec/bin/manage_agents

輸入"E"
可以先將金鑰(紅框字串)複製起來,等一下Agent會使用到
圖為範例(IP有更換過)
Ossec Server 與 Ossec Agent 設定-02.png

Ossec Server 設定防火牆:
給予Ossec Agent連線使用

# firewall-cmd --add-port=1514/udp --permanent
# firewall-cmd --reload

Ossec Agent 匯入金鑰:
登入至已經安裝Ossec Agent的主機

# /var/ossec/bin/manage_agents

輸入"I"
貼上剛複製的金鑰

圖為範例(IP有更換過)
Ossec Server 與 Ossec Agent 設定-05.png

啟動Ossec Agent,並設定開機啟動:

# /var/ossec/bin/ossec-control start
# chmod +x /etc/rc.d/rc.local
# echo "/var/ossec/bin/ossec-control start &" >> /etc/rc.d/rc.local

透過Web UI檢查Agent是否加入:
Ossec Server 與 Ossec Agent 設定-06

透過CLI查詢Agent是否加入:

# /var/ossec/bin/agent_control -l

Ossec Server 與 Ossec Agent 設定-07

廣告

對「CentOS 7 設定 Ossec Agent (2019/07/26 更新內容)」的一則回應

發表迴響

在下方填入你的資料或按右方圖示以社群網站登入:

WordPress.com 標誌

您的留言將使用 WordPress.com 帳號。 登出 /  變更 )

Google photo

您的留言將使用 Google 帳號。 登出 /  變更 )

Twitter picture

您的留言將使用 Twitter 帳號。 登出 /  變更 )

Facebook照片

您的留言將使用 Facebook 帳號。 登出 /  變更 )

連結到 %s