在Solaris网络部署HIDS配置实战(下)
上文介绍IDS基础和OSSEC的技术特点,下面笔者以Solaris 10操作系统为实例介绍配置具体过程。这里包括几个方面首先是ossec-hids-1.5 在Solaris 10 服务器进行安装和配置,然后再Linux 工作站、windows工作站、BSD工作站上配置OSSEC的IDS代理。最后是基于Web的监控界面的配置。过程比较长对于初学者有一定难度。
一、在Solaris服务器下配置ossec-hids-1.5
系统要求:首先必须配置好C 编译器和make工具。只是Unix工作的基础,读者可以查看相关资料进行配置,笔者略过。另外硬件方面根据监控的主机数量如表-1 配置。
服务器的推荐选型如表1
#gunzip ossec-hids-1.5.tar.gz
#tar vxf ossec-hids-1.5.tar
#cd ossec-hids-1.5
#./install
开始安装界面如图1 。
首先是语言选择由于笔者使用Solaris 10 服务器不能支持UTF 编码格式,所以汉字显示为乱码,所以选择英文安装不过这应当是Unix 系统管理员基本功,不过在Linux 下是可以使用中文安装的。接着系统进行检测主机情况如图2 。
说明OSSEC需要以root权限安装。按 ENTER 继续或 Ctrl-C 退出。
下面是具体安装步骤,包括三大部分若干小部分:
您希望哪一种安装 ,如图3 。
说明:您可以有三种安装选项:服务器端安装(server),代理端(agent)或本地安装(local):如果选择'服务器端安装(server)', 您将可以分析所有日志,发送e-mail告警及联动,接收远端机器的syslog日志, 接收代理端发回的日志(代理端发回的日志是经过加密的).如果您选择'代理端安装(agent)', 您将可以读取本机文件(syslog, snort, apache等)并将它们发送给服务器端(加密过后)进行分析.如果选择'本地安装(local)',除了不能接收远程机器或代理端发回的信息外,你可以作服务器(server)安装能做的任何事情。如果您希望安装一个日志分析服务器,请选择'server'.,如果您已经有一台日志分析服务器并且希望将本机的日志传送给它,请选择'agent'. (这是web服务器, 数据库服务器等的理想配置方法),如果您只有一台机器要监控,那么请选择'local'。
本章选择Server 服务器安装。
初始化安装环境
初始化安装环境即选择安装目录,通常选择/var/ossec即可。
配置 OSSEC HIDS
此处是本文配置关键之处,笔者详细介绍:包括6 项内容,代码依次如下:
- Configuring the OSSEC HIDS.
- Do you want e-mail notification? (y/n) [y]: y
- What's your e-mail address? [email protected]
- What's your SMTP server ip/host? your smtp server address (localhost)
- Do you want to run the integrity check daemon? (y/n) [y]: y
- Running syscheck (integrity check daemon).
- Do you want to run the rootkit detection engine? (y/n) [y]: y
- Running rootcheck (rootkit detection).
- Active response allows you to execute a specific
command based on the events received. For example,
you can block an IP address or disable access for
a specific user.
More information at:
http://www.ossec.net/en/manual.html#active-response
- Do you want to enable active response? (y/n) [y]: y
- Active response enabled.
- By default, we can enable the host-deny and the
firewall-drop responses. The first one will add
a host to the /etc/hosts.deny and the second one
will block the host on iptables (if linux) or on
ipfilter (if Solaris, FreeBSD or NetBSD).
- They can be used to stop SSHD brute force scans,
portscans and some other forms of attacks. You can
also add them to block on snort events, for example.
- Do you want to enable the firewall-drop response? (y/n) [y]: y
- firewall-drop enabled (local) for levels >= 6
- Default white list for the active response:
- 192.168.2.1
- Do you want to add more IPs to the white list? (y/n)? [n]: n
- Setting the configuration to analyze the following logs:
-- /var/log/messages
-- /var/log/auth.log
-- /var/log/syslog
-- /var/log/mail.info
-- /var/log/apache2/error.log (apache log)
-- /var/log/apache2/access.log (apache log)
- If you want to monitor any other file, just change
the ossec.conf and add a new localfile entry.
Any questions about the configuration can be answered
by visiting us online at http://www.ossec.net .
--- Press ENTER to continue ---
中文解释如下:
- 您希望收到e-mail告警吗? (y/n) [y]: n
--- Email告警启用 .
- 您希望运行系统完整性检测模块吗? (y/n) [y]:
- 系统完整性检测模块将被部署.
- 您希望运行 rootkit检测吗? (y/n) [y]:
- rootkit检测将被部署.
- 关联响应允许您在分析已接收事件的基础上执行一个已定义的命令.
例如,你可以阻止某个IP地址的访问或禁止某个用户的访问权限.
更多的信息,您可以访问:
http://www.ossec.net/en/manual.html#active-response
- 您希望开启联动(active response)功能吗? (y/n) [y]:
- 关联响应已开启
- 默认情况下, 我们开启了主机拒绝和防火墙拒绝两种响应.
第一种情况将添加一个主机到 /etc/hosts.deny.
第二种情况将在iptables(linux)或ipfilter(Solaris,FreeBSD或NetBSD)中拒绝该主机的访问.
- 该功能可以用以阻止 SSHD 暴力攻击, 端口扫描和其他
一些形式的攻击. 同样你也可以将他们添加到其他地方,例如将他们添加为 snort 的事件.
- 您希望开启防火墙联动(firewall-drop)功能吗? (y/n) [y]:
- 防火墙联动(firewall-drop)当事件级别 >= 6 时被启动
- 联动功能默认的白名单是:
- 192.168.40.1
- 您希望添加更多的IP到白名单吗? (y/n)? [n]:
- 您希望接收远程机器syslog吗 (port 514 udp)? (y/n) [y]:
- 远程机器syslog将被接收.
- 设置配置文件以分析一下日志:
-- /var/log/messages
-- /var/log/secure
-- /var/log/maillog
-如果你希望监控其他文件, 只需要在配置文件ossec.conf中
添加新的一项-如果你希望监控其他文件, 只需要在配置文件ossec.conf中
任何关于配置的疑问您都可以在 http://www.ossec.net 找到答案.
--- 按 ENTER 以继续 ---
配置界面如图4 。
下面经过系统自动配置如果服务器的Gcc和make工具正确。系统可以完成安装如图5 。
图5 提示如下:-已正确完成系统配置.
要启动 OSSEC HIDS:
/var/ossec/bin/ossec-control start
要停止 OSSEC HIDS:
/var/ossec/bin/ossec-control stop
要查看或修改系统配置,请编辑 /var/ossec/etc/ossec.conf
图6 是最后配置完成界面。
图6提示您必须首先将该代理添加到服务器端以使他们能够相互通信.
这样做了以后,您可以运行'manage_agents'工具导入服务器端产生的认证密匙.
/var/ossec/bin/manage_agents
二、添加代理
下面开始在Solaris 10 服务器下依次添加Linux 、windows 代理。
1 运行/var/ossec/bin/manage_agents 出现如图7界面。
显示依次是
(A)添加一个代理
(E)建立一个代理钥匙
(L)查看代理列表
(R)删除一个代理
退出
这里选择A 字母 建立第一个代理。依次输入代理名称、IP地址、序列号。如图8 。
下面选择(E)建立一个代理钥匙,如图9。
下面使用把下面一行字符复制下来到一个文本文件中以后使用,然后依次建立第二、第三个代理过程是相同的。
三、Linux下配置 OSSEC的IDS代理
进入一个Linux 工作站,下载安装ossec-hids-1.5 。运行install.sh脚本。开始安装不过安装选项是代理如图10 。除了要输入一次OSSEC HIDS服务器IP地址外,其他安装 过程和在Solaris 10 服务器上相同。
说明:这里使用的是Fedora 8 Linux 系统。内核版本2.6.23.1-42.fc8 。
下面运行命令:
/var/ossec/bin/manage_agents
选择I 加入代理钥匙。如图11。
完成linux 下配置 OSSEC的IDS代理。
四、Windows下配置 OSSEC的IDS代理
软件下载链接:http://www.ossec.net/files/ossec-agent-win32-1.5.exe ,Manage Agent 目前支持NT, 2000, XP ,2003,Vista ,安装过程可以选择扫描IIS 日志和关联响应。如图12 。
安装完成后可以运行 “Manage Agent”,如图13 。
在 OSSEC server I 栏目输入服务器IP :192.168.40.135
在authentication Key 栏目输入代理钥匙:
MDAxIHhwIDE5Mi4xNjguNDAuMTM1IDU5OWE0NDM0Yjg5YWVjMDJjZTQzMWUyYzRjOTA4YWM0Mjc3Y2FlMDIzMjlkNGIyZDM5MmUwNDg0NzQwYjRkMWQ
Manage Agent 可以监控注册表文件的任何变化以及IIS 日志情况。我们知道在网络给我们的工作学习带来极大方便的同时,病毒、木马、后门以及黑客程序也严重影响着信息的安全。这些程序感染计算机的一个共同特点是在注册表中写入信息,来达到如自动运行、破坏和传播等目的。所以监控注册表是非常重要的。另外IIS日志也是黑客攻陷的重点。另外可以设置Manage Agent自动启动使用windows 服务设置。步骤如下:
以管理员或Administrators组成员身份登录,单击“开始→运行”菜单项,在出现的对话框中键入“Services.msc”并回车,即可打开“服务管理控制台”,。你也可以单击“开始→控制面板→性能和维护→管理工具→服务”选项来启动该控制台。在服务控制台中,双击任意一个服务,就可以打开该服务的属性对话框,如图14所示。在这里,我们可以对服务进行配置、管理操作,通过更改服务的启动类型来设置满足自己需要的启动、关闭或禁用服务。
图14 设置Manage Agent自动启动
“服务状态”是指服务的现在状态是启动还是停止,通常,我们可以利用下面的“启动”、“停止”、“暂停”、“恢复”按钮来改变服务的状态。这里选择自动。下面选择将运行服务的账户 ,在上述对话框中单击“登录”选项卡,执行下述操作之一:
(1)要使用本地系统账户,单击“本地系统账户”选项。
(2)要使用本地服务台账户,单击“本账户”选项,然后键入“NT AUTHORITY\LocalService”。
(3)要使用网络服务账户,单击“本账户”选项,然后键入“NT AUTHORITY\NetworkService”。
(4)要指定另一个账户,单击“本账户”选项,然后单击“浏览”按钮,然后在“选择用户”对话框中指定用户账户即可。
最后在“密码”和“确认密码”框中键入用户账户的密码,单击“确定”按钮。
注意:必须明确配置用户账户以便登录到服务。要验证用户账户是否经过了正确配置,请在“本地用户和组”中右键单击该用户账户。在“属性”对话框的“常规”选项卡上,确认已选中“密码永不过期”复选框,然后单击“成员”选项卡来确认该用户是适当组的成员。如果选择的账户没有作为服务登录的权限,则在你当前管理的计算机上,服务会自动授予该账户适当的权限。
五、启动OSSEC 服务器
1. 启动、关闭、查看OSSEC服务器
所有OSSEC的IDS代理配置完成后就可以启动OSSEC 服务器了,打开一个终端运行命令:
/var/ossec/bin/ossec-control start
图15是OSSEC的IDS服务器启动成功界面。
设置shell脚本管理ossec服务
SMF是Solaris 10操作系统中的软件服务管理工具。它替代了以前操作系统的/etc/*.d中的服务运行脚本。对于使用过Windows的读者来说,SMF的功能类似“控制面板”中的“服务”;对于使用过Linux和UNIX的读者来说,这个功能就是替代部分目录/etc/rc*.d中的启动脚本程序(还有一本分没有替代)和超级服务器(inetd)的功能。另外,使用过Solaris 9的读者知道,Solaris 9是没有这个管理工具的,这是Solaris 10的新功能。SMF主要作为服务操作系统的Solaris 10的服务管理工具,必然要有强大的服务管理功能。SMF作为新的管理工具,具有很多新的特性。SMF提供以下特性:
当出现了管理错误、软件有Bug或者发生了硬件错误,导致了服务程序异常中止时,SMF可以自动按照一定的次序重新启动服务。
使用svcs命令可以查看所有的服务,而使用svcadm和svccfg命令就可以管理这些服务。使用svcs-p命令就可以查看与本服务相关联的其他服务。
通过服务快照设置可以很容易地实现服务的备份和恢复。
通过svcs-x命令可以很容易的对服务进行调试,并且可以使每个服务都有自己的固定日志。
所有的服务都可以通过svcadm进行启动和关闭,如果使用-t参数,则是临时的,系统重新启动后将不再保存。
具有相应角色的非root用户也可以启动、关闭和修改服务。
互相不隶属的服务在系统启动的时候是并行启动的,系统关闭的时候也是并行关闭的。这样系统启动和关闭速度就会很快。
一些rc的启动脚本还是按照以前的方式来启动和关闭
增加OSSEC运行脚本的步骤:
如果想增加控制脚本来启动和关闭服务,就复制这些脚本到/etc/init.d目录,然后在/etc/rc*.d的目录下创造这个脚本文件的软链接。
步骤:
成为超级用户或者授权角色用户
必须一个shell脚本ossec
Ossec代码内容如下:
#!/bin/sh
case "$1" in
start)
/var/ossec/bin/ossec-control start
;;
stop)
/var/ossec/bin/ossec-control stop
;;
restart)
$0 stop && sleep 3
$0 start
;;
reload)
$0 stop
$0 start
;;
*)
echo "Usage: $0 {start|stop|restart|reload}"
exit 1
esac
增加脚本到inti.d目录。
# cp filename /etc/init.d
# chmod 0744 /etc/init.d/ossec
# chown root:sys /etc/init.d/ossec
创建软链接到rc*.d目录。
# cd /etc/init.d
# ln filename /etc/rc2.d/Snnossec
检查软链接。
# ls /etc/init.d/*ossec /etc/rc2.d/*ossec
以后可以使用ossec 管理OSSEC IDS服务器的启动、停止和创新加载等复杂动作。
配置OSSEC接受防火墙的日志文件
Cisco防火墙PIX
修改配置文件/var/ossec/etc/ossec.conf添加几行:
syslog
192.168.2.2
PIX 防火墙配置如下:
conf t
logging enable
logging host <192.168.2.2>
no logging timestamp
no logging device-id
logging trap debug
logging facility 20
exit
write mem
配置OSSEC监控数据库的日志文件
监控错误日志 /var/log/mysql/slack.err (error log):
修改配置文件/var/ossec/etc/ossec.conf添加几行
mysql_log
/var/log/mysql/slack.err
监控查询日志 /var/log/mysql/slack.log (generic query log):
修改配置文件/var/ossec/etc/ossec.conf添加几行
mysql_log
/var/log/mysql/slack.log
配置OSSEC接受IIS日志文件
- 最新评论