中文字幕在线观看,亚洲а∨天堂久久精品9966,亚洲成a人片在线观看你懂的,亚洲av成人片无码网站,亚洲国产精品无码久久久五月天

在Solaris網(wǎng)絡(luò)部署HIDS配置實戰(zhàn)(下)

2018-06-23    來源:

容器云強勢上線!快速搭建集群,上萬Linux鏡像隨意使用
上文介紹IDS基礎(chǔ)和OSSEC的技術(shù)特點,下面筆者以Solaris 10操作系統(tǒng)為實例介紹配置具體過程。這里包括幾個方面首先是ossec-hids-1.5 在Solaris 10 服務(wù)器進行安裝和配置,然后再Linux 工作站、windows工作站、BSD工作站上配置OSSEC的IDS代理。最后是基于Web的監(jiān)控界面的配置。過程比較長對于初學者有一定難度。

  一、在Solaris服務(wù)器下配置ossec-hids-1.5

  系統(tǒng)要求:首先必須配置好C 編譯器和make工具。只是Unix工作的基礎(chǔ),讀者可以查看相關(guān)資料進行配置,筆者略過。另外硬件方面根據(jù)監(jiān)控的主機數(shù)量如表-1 配置。

  服務(wù)器的推薦選型如表1

IDS代理客戶端數(shù)量

IDS服務(wù)器CPU數(shù)量

IDS服務(wù)器CPU速度

IDS服務(wù)器內(nèi)存容量

IDS服務(wù)器用于客戶端的磁盤存儲容量

1–100

1

大于1500MHZ

1024MB

20GB以上

100-200

雙核或者多處理器

大于2000MHZ

1024MB以上

40GB以上

  1、軟件下載安裝

     #wegt http://www.ossec.net/files/ossec-hids-1.5.tar.gz
  #wegt http://www.ossec.net/files/OSSEC-GPG-KEY.asc
  # gpg --import OSSEC-GPG-KEY.asc
  # gpg --verify file.sig file

  說明通過gpg驗證可以保證軟件包安全。

      #gunzip ossec-hids-1.5.tar.gz
  #tar vxf ossec-hids-1.5.tar
  #cd ossec-hids-1.5
  #./install

  開始安裝界面如圖1 。

開始安裝

  圖1 開始安裝

  首先是語言選擇由于筆者使用Solaris 10 服務(wù)器不能支持UTF 編碼格式,所以漢字顯示為亂碼,所以選擇英文安裝不過這應(yīng)當是Unix 系統(tǒng)管理員基本功,不過在Linux 下是可以使用中文安裝的。接著系統(tǒng)進行檢測主機情況如圖2 。

檢測主機情況

  圖2 檢測主機情況

  說明OSSEC需要以root權(quán)限安裝。按 ENTER 繼續(xù)或 Ctrl-C 退出。

  下面是具體安裝步驟,包括三大部分若干小部分:

  您希望哪一種安裝 ,如圖3 。

選擇安裝類型

  圖3 選擇安裝類型

  說明:您可以有三種安裝選項:服務(wù)器端安裝(server),代理端(agent)或本地安裝(local):如果選擇'服務(wù)器端安裝(server)', 您將可以分析所有日志,發(fā)送e-mail告警及聯(lián)動,接收遠端機器的syslog日志, 接收代理端發(fā)回的日志(代理端發(fā)回的日志是經(jīng)過加密的).如果您選擇'代理端安裝(agent)', 您將可以讀取本機文件(syslog, snort, apache等)并將它們發(fā)送給服務(wù)器端(加密過后)進行分析.如果選擇'本地安裝(local)',除了不能接收遠程機器或代理端發(fā)回的信息外,你可以作服務(wù)器(server)安裝能做的任何事情。如果您希望安裝一個日志分析服務(wù)器,請選擇'server'.,如果您已經(jīng)有一臺日志分析服務(wù)器并且希望將本機的日志傳送給它,請選擇'agent'. (這是web服務(wù)器, 數(shù)據(jù)庫服務(wù)器等的理想配置方法),如果您只有一臺機器要監(jiān)控,那么請選擇'local'。

  本章選擇Server 服務(wù)器安裝。

  初始化安裝環(huán)境

  初始化安裝環(huán)境即選擇安裝目錄,通常選擇/var/ossec即可。

  配置 OSSEC HIDS

  此處是本文配置關(guān)鍵之處,筆者詳細介紹:包括6 項內(nèi)容,代碼依次如下:

      - Configuring the OSSEC HIDS.
  - Do you want e-mail notification? (y/n) [y]: y
  - What's your e-mail address? youremail@yourdomain.com
  - What's your SMTP server ip/host? your smtp server address (localhost)
  - Do you want to run the integrity check daemon? (y/n) [y]: y
  - Running syscheck (integrity check daemon).
  - Do you want to run the rootkit detection engine? (y/n) [y]: y
  - Running rootcheck (rootkit detection).
  - Active response allows you to execute a specific
  command based on the events received. For example,
  you can block an IP address or disable access for
  a specific user.
  More information at:
  http://www.ossec.net/en/manual.html#active-response
  - Do you want to enable active response? (y/n) [y]: y
  - Active response enabled.
  - By default, we can enable the host-deny and the
  firewall-drop responses. The first one will add
  a host to the /etc/hosts.deny and the second one
  will block the host on iptables (if linux) or on
  ipfilter (if Solaris, FreeBSD or NetBSD).
  - They can be used to stop SSHD brute force scans,
  portscans and some other forms of attacks. You can
  also add them to block on snort events, for example.
  - Do you want to enable the firewall-drop response? (y/n) [y]: y
  - firewall-drop enabled (local) for levels >= 6
  - Default white list for the active response:
  - 192.168.2.1
  - Do you want to add more IPs to the white list? (y/n)? [n]: n
  - Setting the configuration to analyze the following logs:
  -- /var/log/messages
  -- /var/log/auth.log
  -- /var/log/syslog
  -- /var/log/mail.info
  -- /var/log/apache2/error.log (apache log)
  -- /var/log/apache2/access.log (apache log)
  - If you want to monitor any other file, just change
  the ossec.conf and add a new localfile entry.
  Any questions about the configuration can be answered
  by visiting us online at http://www.ossec.net .
  --- Press ENTER to continue ---

  中文解釋如下:

  - 您希望收到e-mail告警嗎? (y/n) [y]: n

  --- Email告警啟用 .

  - 您希望運行系統(tǒng)完整性檢測模塊嗎? (y/n) [y]:

  - 系統(tǒng)完整性檢測模塊將被部署.

  - 您希望運行 rootkit檢測嗎? (y/n) [y]:

  - rootkit檢測將被部署.

  - 關(guān)聯(lián)響應(yīng)允許您在分析已接收事件的基礎(chǔ)上執(zhí)行一個已定義的命令.

  例如,你可以阻止某個IP地址的訪問或禁止某個用戶的訪問權(quán)限.

  更多的信息,您可以訪問:

  http://www.ossec.net/en/manual.html#active-response

  - 您希望開啟聯(lián)動(active response)功能嗎? (y/n) [y]:

  - 關(guān)聯(lián)響應(yīng)已開啟

  - 默認情況下, 我們開啟了主機拒絕和防火墻拒絕兩種響應(yīng).

  第一種情況將添加一個主機到 /etc/hosts.deny.

  第二種情況將在iptables(linux)或ipfilter(Solaris,FreeBSD或NetBSD)中拒絕該主機的訪問.

  - 該功能可以用以阻止 SSHD 暴力攻擊, 端口掃描和其他

  一些形式的攻擊. 同樣你也可以將他們添加到其他地方,例如將他們添加為 snort 的事件.

  - 您希望開啟防火墻聯(lián)動(firewall-drop)功能嗎? (y/n) [y]:

  - 防火墻聯(lián)動(firewall-drop)當事件級別 >= 6 時被啟動

  - 聯(lián)動功能默認的白名單是:

  - 192.168.40.1

  - 您希望添加更多的IP到白名單嗎? (y/n)? [n]:

  - 您希望接收遠程機器syslog嗎 (port 514 udp)? (y/n) [y]:

  - 遠程機器syslog將被接收.

  - 設(shè)置配置文件以分析一下日志:

  -- /var/log/messages

  -- /var/log/secure

  -- /var/log/maillog

  -如果你希望監(jiān)控其他文件, 只需要在配置文件ossec.conf中

  添加新的一項-如果你希望監(jiān)控其他文件, 只需要在配置文件ossec.conf中

  任何關(guān)于配置的疑問您都可以在 http://www.ossec.net 找到答案.

  --- 按 ENTER 以繼續(xù) ---

  配置界面如圖4 。

配置界面

  圖4 配置界面

標簽: linux web服務(wù)器 安全 代碼 防火墻 服務(wù)器 服務(wù)器安裝 服務(wù)器端 服務(wù)器內(nèi)存 開啟防火墻 權(quán)限 數(shù)據(jù)庫

版權(quán)申明:本站文章部分自網(wǎng)絡(luò),如有侵權(quán),請聯(lián)系:west999com@outlook.com
特別注意:本站所有轉(zhuǎn)載文章言論不代表本站觀點!
本站所提供的圖片等素材,版權(quán)歸原作者所有,如需使用,請與原作者聯(lián)系。

上一篇:微軟聯(lián)手全球11電腦商預(yù)裝免費殺毒

下一篇:升級體驗競技激情 卡巴斯基掀全功能升級風暴