ossec主机入侵检查系统架设

　　概念

　　rootkit含义：

　　rootkit基本是由几个独立程序组成，一个典型rootkit包括：以太网嗅探器程序，用于获得网络上传输的用户名和密码等信息。特洛伊木马程序，为攻击者提供后门。隐藏攻击者目录和进程的程序。还包括一些日志清理工具，攻击者用其删除wtmp、utmp和lastlog等日志文件中有关自己行踪的条目。复杂的rootkit还可以向攻击者提供telnet、shell和 finger等服务。还包括一些用来清理/var/log和/var/adm目录中其它文件的脚本。

　　这种可恶的程序是一批工具集，黑客用它来掩饰对计算机网络的入侵并获得管理员访问权限。一旦黑客获得管理员访问权限，就会利用已知的漏洞或者破解密码来安装rootkit。然后rootkit会收集网络上的用户ID和密码，这样黑客就具有高级访问权限了。

　　Rootkit扫描是专门针对rootkit进行的一种优化式的扫描方式。

　　一.OSSEC简要介绍：

　　OSSEC 是一款开源的入侵检测系统，包括了日志分析，全面检测，rook-kit检测。作为一款HIDS，OSSEC应该被安装在一台实施监控的系统中。另外有时候不需要安装完全版本得OSSEC，如果有多台电脑都安装了OSSEC，那么就可以采用客户端/服务器模式来运行。客户机通过客户端程序将数据发回到服务器端进行分析。在一台电脑上对多个系统进行监控对于企业或者家庭用户来说都是相当经济实用的。

　　对我来说OSSEC最大的优势在于它几乎可以运行在任何一种操作系统上，比如Windows, Linux, OpenBSD/FreeBSD, 以及 MacOS。不过运行在Windows上的客户端无法实现root-kit检测，而其他系统上的客户端都没有问题。OSSEC的手册上说OSSEC目前还不支持Windows系统下得root-kit检测

　　二.安装

　　1. 安装所需软件：Basically, for Unix systems, ossec just requires gcc and glibc.

　　下载软件：从http://www.ossec.net 上下载最新的OSSEC

　　源代码包;

　　2. 安装服务器：

　　1). 选择一台服务器作为OSSEC服务器;

　　2). 将OSSEC源代码包拷贝到该服务器并解压;

　　3). 进入OSSEC目录并运行install.sh开始安装(如果想让ossec支持mysql,则在安装前先需入src目录下执行make setdb命令,如果想让ossec支持更多代理，在src目录下执行make setmaxagents命令,ossec目前最大只支持2048个客户端,并且大多数系统对最大文件数有限制，我们可以通过ulimit -n 2048来增加系统支持的最大文件数(或者sysctl -w kern.maxfiles=2048;

　　4). 在提示输入安装类型时,输入server;

　　5). 在提示输入安装路径时,输入/opt/ossec;

　　6). 在提示是否希望接收E-MAIL通告时, 接受默认值, 并在接下来的提示中依次输入用来接收OSSEC 通告的E-MAIL地址, 邮件服务器的名字或IP地址,我这里是选择localhost作为mta,然后通过设置/etc/alias别名列表来将邮件转发到我指定的邮箱;

　　7). 其它提示接受默认值;

　　3. 安装代理:

　　1). 将OSSEC源代码包拷贝到某台欲在其上安装OSSEC代理的linux服务器上并解压;

　　2). 进入OSSEC目录并运行install.sh开始安装;

　　3). 在提示输入安装类型时,输入agent;

　　4). 在提示输入安装路径时,输入/opt/ossec;

　　5). 在提示输入服务器IP地址时输入我们的OSSEC服务器的IP地

　　址;

　　6). 其它提示接受默认值;

　　在欲在其上安装OSSEC代理的所有linux服务器执行1) – 6)

　　三.配置

　　1. 在OSSEC服务器上运行 /opt/ossec/bin/manage-agents;

　　2. 在某个OSSEC代理上运行 /opt/ossec/bin/manage-agents;

　　3. 在OSSEC服务器的主菜单下输入A/a 增加一个代理, 为该代理输入一个容易区别的名字(比如其hostname), 并输入其IP 地址;

　　4. 在主菜单下输入E/e 为该代理生成密钥;

　　5. 在该OSSEC代理的主菜单下输入I/i 准备导入OSSEC服务器生成的密钥;

　　6. 将OSSEC服务器生成的密钥复制到OSSEC代理;

　　7. 按Q/q键退出OSSEC服务器和代理, 并重新启动OSSEC服务器和代理(分别在OSSEC服务器和代理所在的服务器上执行/etc/init.d/ossec restart)

　　在欲在其上配置OSSEC代理的所有linux服务器执行2) – 7)

　　OSSEC安装

　　8. ossec安装完后，默认会在$directory生成如下几个目录：active-response,bin,etc,logs,queue, rules,stats,tmp,var,主要配置文件为/$directory/etc/ossec.conf，$directory为你ossec安装目录，每个选项的详细说明请见：http://www.ossec.net/en/manual.html#installorder。规则文件目录为 /$directory/rules