中文字幕在线观看,亚洲а∨天堂久久精品9966,亚洲成a人片在线观看你懂的,亚洲av成人片无码网站,亚洲国产精品无码久久久五月天

在Solaris網(wǎng)絡(luò)部署HIDS配置實(shí)戰(zhàn)(下)

2018-06-23    來(lái)源:

容器云強(qiáng)勢(shì)上線!快速搭建集群,上萬(wàn)Linux鏡像隨意使用
上文介紹IDS基礎(chǔ)和OSSEC的技術(shù)特點(diǎn),下面筆者以Solaris 10操作系統(tǒng)為實(shí)例介紹配置具體過(guò)程。這里包括幾個(gè)方面首先是ossec-hids-1.5 在Solaris 10 服務(wù)器進(jìn)行安裝和配置,然后再Linux 工作站、windows工作站、BSD工作站上配置OSSEC的IDS代理。最后是基于Web的監(jiān)控界面的配置。過(guò)程比較長(zhǎng)對(duì)于初學(xué)者有一定難度。

  一、在Solaris服務(wù)器下配置ossec-hids-1.5

  系統(tǒng)要求:首先必須配置好C 編譯器和make工具。只是Unix工作的基礎(chǔ),讀者可以查看相關(guān)資料進(jìn)行配置,筆者略過(guò)。另外硬件方面根據(jù)監(jiān)控的主機(jī)數(shù)量如表-1 配置。

  服務(wù)器的推薦選型如表1

IDS代理客戶端數(shù)量

IDS服務(wù)器CPU數(shù)量

IDS服務(wù)器CPU速度

IDS服務(wù)器內(nèi)存容量

IDS服務(wù)器用于客戶端的磁盤(pán)存儲(chǔ)容量

1–100

1

大于1500MHZ

1024MB

20GB以上

100-200

雙核或者多處理器

大于2000MHZ

1024MB以上

40GB以上

  1、軟件下載安裝

     #wegt http://www.ossec.net/files/ossec-hids-1.5.tar.gz
  #wegt http://www.ossec.net/files/OSSEC-GPG-KEY.asc
  # gpg --import OSSEC-GPG-KEY.asc
  # gpg --verify file.sig file

  說(shuō)明通過(guò)gpg驗(yàn)證可以保證軟件包安全。

      #gunzip ossec-hids-1.5.tar.gz
  #tar vxf ossec-hids-1.5.tar
  #cd ossec-hids-1.5
  #./install

  開(kāi)始安裝界面如圖1 。

開(kāi)始安裝

  圖1 開(kāi)始安裝

  首先是語(yǔ)言選擇由于筆者使用Solaris 10 服務(wù)器不能支持UTF 編碼格式,所以漢字顯示為亂碼,所以選擇英文安裝不過(guò)這應(yīng)當(dāng)是Unix 系統(tǒng)管理員基本功,不過(guò)在Linux 下是可以使用中文安裝的。接著系統(tǒng)進(jìn)行檢測(cè)主機(jī)情況如圖2 。

檢測(cè)主機(jī)情況

  圖2 檢測(cè)主機(jī)情況

  說(shuō)明OSSEC需要以root權(quán)限安裝。按 ENTER 繼續(xù)或 Ctrl-C 退出。

  下面是具體安裝步驟,包括三大部分若干小部分:

  您希望哪一種安裝 ,如圖3 。

選擇安裝類(lèi)型

  圖3 選擇安裝類(lèi)型

  說(shuō)明:您可以有三種安裝選項(xiàng):服務(wù)器端安裝(server),代理端(agent)或本地安裝(local):如果選擇'服務(wù)器端安裝(server)', 您將可以分析所有日志,發(fā)送e-mail告警及聯(lián)動(dòng),接收遠(yuǎn)端機(jī)器的syslog日志, 接收代理端發(fā)回的日志(代理端發(fā)回的日志是經(jīng)過(guò)加密的).如果您選擇'代理端安裝(agent)', 您將可以讀取本機(jī)文件(syslog, snort, apache等)并將它們發(fā)送給服務(wù)器端(加密過(guò)后)進(jìn)行分析.如果選擇'本地安裝(local)',除了不能接收遠(yuǎn)程機(jī)器或代理端發(fā)回的信息外,你可以作服務(wù)器(server)安裝能做的任何事情。如果您希望安裝一個(gè)日志分析服務(wù)器,請(qǐng)選擇'server'.,如果您已經(jīng)有一臺(tái)日志分析服務(wù)器并且希望將本機(jī)的日志傳送給它,請(qǐng)選擇'agent'. (這是web服務(wù)器, 數(shù)據(jù)庫(kù)服務(wù)器等的理想配置方法),如果您只有一臺(tái)機(jī)器要監(jiān)控,那么請(qǐng)選擇'local'。

  本章選擇Server 服務(wù)器安裝。

  初始化安裝環(huán)境

  初始化安裝環(huán)境即選擇安裝目錄,通常選擇/var/ossec即可。

  配置 OSSEC HIDS

  此處是本文配置關(guān)鍵之處,筆者詳細(xì)介紹:包括6 項(xiàng)內(nèi)容,代碼依次如下:

      - Configuring the OSSEC HIDS.
  - Do you want e-mail notification? (y/n) [y]: y
  - What's your e-mail address? youremail@yourdomain.com
  - What's your SMTP server ip/host? your smtp server address (localhost)
  - Do you want to run the integrity check daemon? (y/n) [y]: y
  - Running syscheck (integrity check daemon).
  - Do you want to run the rootkit detection engine? (y/n) [y]: y
  - Running rootcheck (rootkit detection).
  - Active response allows you to execute a specific
  command based on the events received. For example,
  you can block an IP address or disable access for
  a specific user.
  More information at:
  http://www.ossec.net/en/manual.html#active-response
  - Do you want to enable active response? (y/n) [y]: y
  - Active response enabled.
  - By default, we can enable the host-deny and the
  firewall-drop responses. The first one will add
  a host to the /etc/hosts.deny and the second one
  will block the host on iptables (if linux) or on
  ipfilter (if Solaris, FreeBSD or NetBSD).
  - They can be used to stop SSHD brute force scans,
  portscans and some other forms of attacks. You can
  also add them to block on snort events, for example.
  - Do you want to enable the firewall-drop response? (y/n) [y]: y
  - firewall-drop enabled (local) for levels >= 6
  - Default white list for the active response:
  - 192.168.2.1
  - Do you want to add more IPs to the white list? (y/n)? [n]: n
  - Setting the configuration to analyze the following logs:
  -- /var/log/messages
  -- /var/log/auth.log
  -- /var/log/syslog
  -- /var/log/mail.info
  -- /var/log/apache2/error.log (apache log)
  -- /var/log/apache2/access.log (apache log)
  - If you want to monitor any other file, just change
  the ossec.conf and add a new localfile entry.
  Any questions about the configuration can be answered
  by visiting us online at http://www.ossec.net .
  --- Press ENTER to continue ---

  中文解釋如下:

  - 您希望收到e-mail告警嗎? (y/n) [y]: n

  --- Email告警啟用 .

  - 您希望運(yùn)行系統(tǒng)完整性檢測(cè)模塊嗎? (y/n) [y]:

  - 系統(tǒng)完整性檢測(cè)模塊將被部署.

  - 您希望運(yùn)行 rootkit檢測(cè)嗎? (y/n) [y]:

  - rootkit檢測(cè)將被部署.

  - 關(guān)聯(lián)響應(yīng)允許您在分析已接收事件的基礎(chǔ)上執(zhí)行一個(gè)已定義的命令.

  例如,你可以阻止某個(gè)IP地址的訪問(wèn)或禁止某個(gè)用戶的訪問(wèn)權(quán)限.

  更多的信息,您可以訪問(wèn):

  http://www.ossec.net/en/manual.html#active-response

  - 您希望開(kāi)啟聯(lián)動(dòng)(active response)功能嗎? (y/n) [y]:

  - 關(guān)聯(lián)響應(yīng)已開(kāi)啟

  - 默認(rèn)情況下, 我們開(kāi)啟了主機(jī)拒絕和防火墻拒絕兩種響應(yīng).

  第一種情況將添加一個(gè)主機(jī)到 /etc/hosts.deny.

  第二種情況將在iptables(linux)或ipfilter(Solaris,FreeBSD或NetBSD)中拒絕該主機(jī)的訪問(wèn).

  - 該功能可以用以阻止 SSHD 暴力攻擊, 端口掃描和其他

  一些形式的攻擊. 同樣你也可以將他們添加到其他地方,例如將他們添加為 snort 的事件.

  - 您希望開(kāi)啟防火墻聯(lián)動(dòng)(firewall-drop)功能嗎? (y/n) [y]:

  - 防火墻聯(lián)動(dòng)(firewall-drop)當(dāng)事件級(jí)別 >= 6 時(shí)被啟動(dòng)

  - 聯(lián)動(dòng)功能默認(rèn)的白名單是:

  - 192.168.40.1

  - 您希望添加更多的IP到白名單嗎? (y/n)? [n]:

  - 您希望接收遠(yuǎn)程機(jī)器syslog嗎 (port 514 udp)? (y/n) [y]:

  - 遠(yuǎn)程機(jī)器syslog將被接收.

  - 設(shè)置配置文件以分析一下日志:

  -- /var/log/messages

  -- /var/log/secure

  -- /var/log/maillog

  -如果你希望監(jiān)控其他文件, 只需要在配置文件ossec.conf中

  添加新的一項(xiàng)-如果你希望監(jiān)控其他文件, 只需要在配置文件ossec.conf中

  任何關(guān)于配置的疑問(wèn)您都可以在 http://www.ossec.net 找到答案.

  --- 按 ENTER 以繼續(xù) ---

  配置界面如圖4 。

配置界面

  圖4 配置界面

標(biāo)簽: linux web服務(wù)器 安全 代碼 防火墻 服務(wù)器 服務(wù)器安裝 服務(wù)器端 服務(wù)器內(nèi)存 開(kāi)啟防火墻 權(quán)限 數(shù)據(jù)庫(kù)

版權(quán)申明:本站文章部分自網(wǎng)絡(luò),如有侵權(quán),請(qǐng)聯(lián)系:west999com@outlook.com
特別注意:本站所有轉(zhuǎn)載文章言論不代表本站觀點(diǎn)!
本站所提供的圖片等素材,版權(quán)歸原作者所有,如需使用,請(qǐng)與原作者聯(lián)系。

上一篇:微軟聯(lián)手全球11電腦商預(yù)裝免費(fèi)殺毒

下一篇:升級(jí)體驗(yàn)競(jìng)技激情 卡巴斯基掀全功能升級(jí)風(fēng)暴