Pages

Ossec: Khái niệm và cài đặt Ossec trên Centos

POSTED BY :
ON
/

1. Lý thuyết

            - là HIDS , mã nguồn mở.
            - Quản lý log tập trung, theo thời gian thực, phân tích log truy cập.
            - Kiểm tra tính toàn vẹn(windows, linux,...)
            -Kiểm tra registry (windows)
            -Tính toàn vẹn của tập tin, thư mục...
            - Phát hiện rootkit
            - phát hiện tấn công
            - Phản ứng với các cuộc tấn công.
            * Các thành phần của Ossec
           

         
       * Các Luật trong ossec (rule)
                
       

3.2. Cài đặt và cấu hình

                Lab: cài đặt server trên: logs.thudv.com - ip:192.168.22.2
                                                Agent: centos.thudv.com - ip:192.168.k
                - Gói  cài đặt tại thời điểm làm lab: ossec-hids-2.8.2
                - Yêu cầu cài đầy đủ các gói sau.
                        #yum install mysql-devel postgresql-devel
                        #yum install gcc
            !!nếu thiếu sẽ báo lỗi : Error : 0x5.... không cài được.
* Cài đặt :        #tar -zxf ossec-hids-2.8.2.tar.gz
                        #cd ossec-hids-2.8.2
           

            - Cài đặt lần lượt theo yêu cầu: cài server hoặc agent..
               
- Cấu hình theo luồng cài đặt

- Add agent .... /var/ossec/bin/manage_agent
- Extract key cho agent.
- copy key này dán vào agent để  được active
-Restart server và agent.
- Kiểm tra xem agent đã được active chưa.
- Các lệnh khi vận hành
             #/var/ossec/bin/ossec-control start (or stop/restart)                                       
* Chỉnh sửa cấu hình trên server: vi /var/ossec/etc/ossec.conf
            - Để monitor file, directory tham khảo cấu hình : http://ossec-docs.readthedocs.org/en/latest/manual/syscheck/
*Update:
            Download lastest package và cài đặt bình thường. Ossec sẽ tự động phát hiện ra cài đặt trước đó và sẽ hỏi: 
               - You already have OSSEC installed. Do you want to update it? (y/n): y
            Hai file local_rules.xml và local_decoder.xml sẽ không bị chỉnh sửa trong quá trình nâng cấp
            Tiếp đến sẽ hỏi: 
- Do you want to update the rules? (y/n): y

* Kiểm tra ossec có gửi mail về mailserver không ???

==> Check
a) Check /var/ossec/logs/alerts/alert.log
b) Check /var/log/ossim/agent.log
c) Check /var/log/ossim/server.log
kiểm tra log theo ngày: ví dụ: vi /var/ossec/logs/alerts/2016/Jan/ossec-alerts-23.log

==> muốn monitor file or folder chỉnh sửa file ossec.conf tại syscheck (chỉ cần chỉnh ở agent) chỉ đường dẫn tới file cần monitor. Chú ý thêm về level nữa. cấu hình level alert để bắt đầu send mail.
thudinh Network and Security

No comments:

Post a Comment

Subscribe to: Post Comments (Atom)

Adsense

Translate

Copyright © THU DINH. Created By