OSSEC搭建与环境配置Ubuntu

   

        OSSEC是一款开源的多平台基于主机的入侵检测系统，可以简称为HIDS。它具备日志分析，文件完整性检查，策略监控，rootkit检测，实时报警以及联动响应等功能。它支持多种操作系统：Linux、Windows、MacOS、Solaris、HP-UX、AIX。可以采用C/S模式来运行。客户机通过客户端程序将数据发回到服务器端进行分析。OSSEC默认具有一个ossec-logtest工具用于测试OSSEC的泛化及告警规则。该工具一般默认安装于目录 /var/ossec 中。

官方文档说明：Supported Systems — OSSEC

OSSEC官方主页：http://www.ossec.net

检测原理：

代理(agent)会使用1514端口发送日志给服务端(server)，然后服务端分析这些日志并且整理到alerts.log文件。

尝试使用Ubuntu配置了OSSEC，碰见很多问题并解决了，发表博客让后来者不要踩那么多坑

环境 ：

server ：Ubuntu22.04 64位 内存4GB 处理器4 硬盘60G

agent: 1.Windows11 64位 2.Ubuntu22.04 64位

1. OSSEC依赖包 & mysql 环境

2. 安装Apache并配置防火墙

确保防火墙允许HTTP和HTTPS流量。 可以检查UFW是否具有Apache的应用程序配置文件，如下所示

查看Apache Full配置文件，它应该显示它启用到端口80和443流量：

允许此配置文件的传入HTTP和HTTPS流量：

 3. 安装PHP

1、下载最新发行版 or 3.7.0版本

可以选择一个稳定的版本下载，我使用的是 3.7.0版本

 2、进入目录,运行install.sh

3、开启OSSEC

默认的OSSEC配置文件位于/var/ossec/etc/ossec.conf。

默认情况下，当一个新文件添加到服务器时，OSSEC不会发送电子邮件警告。

我们需要修改配置文件

替换以下代码

替换为： 

默认情况下，OSSEC不会发送实时警报。要启用此设置，请查找以下行

替换为：

完成后，保存 Ctrl+S  关闭Ctrl+X文件。

可以需要编辑规则文件local_rules.xml，并为添加到系统中的新文件添加规则。

之间添加以下规则部分：

保存文件。然后，重新启动OSSEC控制服务来应用所有更改

OSSEC HIDS有一个简单的WebUI界面，需要下载。这里有一个坑，如果下载原版本的UI在高php版本会出现无法出现控制页面的BUG，因为这个UI界面是在很早之前做的已经不支持高版本的PHP所以需要修改PHP源码或者是降低PHP版本。寻找到了一个修改后的UI版本

 把文件复制到Apache的目录

进入并开始安装

出现如下界面，设置好用户名密码即可：

启用Apache重写模块：

 查看Apache运行状态：

在Web浏览器中打开http://IP/ossec 进入管理面板 

（此处是加了agent后的图）

1.进入配置环境

Download OSSEC - OSSEC

进入官网下载agent客户端

下载安装，以管理员打开

填写服务端的IP和前面获得的key

成功连接

可以去UI界面查看 （截图不太一样因为第一次搞的时候翻车了）

1.安装依赖包(与上面一样不过不需要安装apche和php

2.下载最新发行版 or 3.7.0版本

可以选择一个稳定的版本下载，我使用的是 3.7.0版本

3.进入目录,运行install.sh

4.安装的时候选择agent 后输入服务端IP地址即可

开启OSSEC

5.导入生成的KEY 

将服务端生成的KEY，在客户端中导入

6.开启OSSEC

注意要先导入key再启动不然会出现

ossec-syscheckd(1210): ERROR: Queue '/var/ossec/queue/ossec/queue' not accessible: 'Connection refused'.

成功导入Linux agent

前面已经提到了这里做个总结，下载原版本的UI在高php版本会出现无法出现控制页面的BUG，因为这个UI界面是在很早之前做的已经不支持高版本的PHP所以需要修改PHP源码或者是降低PHP版本。

添加的agent连不上可能的原因是1.网络不通，可以互相ping一下，或者是2.防火墙的问题，也可能是agent设置文件可以参考这篇使用文档

Agent systems behind NAT or with dynamic IPs (DHCP) — OSSEC

解决方法3： agent服务器的IP选择any 设置any表示，所有IP下的agent都可以连接。

如果都不是可以自行查阅日志发现问题

需要在rids下创建sender 文件

再进行导入KEY

参考文献

Ubuntu安装OSSEC和OSSEC Web UI_ubuntu安装ossec+-CSDN博客