1. 程式人生 > >OSSEC安全監控環境搭建(docker+yum)安裝

OSSEC安全監控環境搭建(docker+yum)安裝

smtp mic man oss 代理端 available 軟件 put www

一、搭建環境

參看文章:

ossec官方安裝文檔

全網最詳細的最新穩定OSSEC搭建部署(ossec-server(CentOS7.X)和ossec-agent(CentOS7.X))(圖文詳解)

系統:Centos7

計算機 IP
ossec-server 172.16.30.23
ossec-agent 172.16.30.24

安裝軟件及版本:

ossec3.0

mariadb5.5.6

安裝方式:

ossec-server: 服務端使用docker安裝

ossec-agent:客戶端使用yum安裝

數據庫:安裝在ossec-server服務端

二、搭建流程

1、安裝前環境準備(服務器和客戶端都需要操作)

關閉selinux

setenforce 0

sed -i ‘s#enforcing#disabled#g‘ /etc/selinux/config

關閉防火墻

systemctl stop firewalld.service 
systemctl disable firewalld.service 

2、數據庫安裝和ossec數據庫配置

在ossec服務端安裝數據庫

使用yum安裝mariadb

yum install -y mariadb-server mariadb mariadb-devel

systemctl start mariadb
systemctl enable mariadb

初始化mariadb

mysql_secure_installation

#設置root,密碼root(自行修改)

創建ossec的數據庫及授權

mysql -uroot -proot 

create database ossec;

grant all on ossec.* to ossec@localhost;   #授權

set password for ossec@localhost=password(‘ossec‘);    #給ossec帳號創建密碼

flush privileges;

exit

添加ossec數據庫表結構

下載ossec二進制文件,主要使用其中mysql.schema文件,ossec-hids-3.0.0.tar.gz的下載地址:

ossec官網下載地址:https://github.com/ossec/ossec-hids/archive/3.0.0.tar.gz

ossec-hids-3.0.0.tar.gz百度雲下載地址:鏈接:https://pan.baidu.com/s/1gG1DbgQhfOPbE8ISej0yHA 密碼:38r8

下載ossec-hids-3.0.0.tar.gz後進行操作:

cd /usr/local/src
tar zxf ossec-hids-3.0.0.tar.gz
cd ossec-hids-3.0.0

mysql -uossec -p ossec < ./src/os_dbd/mysql.schema

ossec表結構添加完成

3、ossec-server服務端安裝

使用docker安裝ossec服務端

參考:Centos7系統下Docker ce的安裝及鏡像加速

docker安裝完成後,使用以下命令安裝ossec-sever的安裝:

 docker run --name ossec-server -d -p 1514:1514/udp -p 1515:1515  -e SYSLOG_FORWADING_ENABLED=true -e SYSLOG_FORWARDING_SERVER_IP=172.16.30.23  -v /var/ossec/data:/var/ossec/data xetusoss/ossec-server

docker命令解釋:

--name:該docker容器命名為ossec-server

-d:後臺運行

-p 1514:1514/udp -p 1515:1515 : 映射宿主機和docker容器端口號

-e SYSLOG_FORWADING_ENABLED=true -e SYSLOG_FORWARDING_SERVER_IP=172.16.30.23 :

-v /var/ossec/data:/var/ossec/data : 掛載容器路徑

xetusoss/ossec-server : 使用鏡像倉庫地址

docker容器啟動成功後,進入ossec-sever容器操作:


dokcer ps

# 進入docker容器的命令
docker exec -it ossec-server bash

在docker容器對ossec-server服務端進行配置操作:

# 添加ossec對數據庫的支持
/var/ossec/bin/ossec-control enable database

# 給ossec.conf文件授權
chmod u+w /var/ossec/etc/ossec.conf

# 編輯ossec.conf文件
vi /var/ossec/data/etc/ossec.conf

## 在ossec.conf添加MySQL配置:
    <database_output>
        <hostname>172.16.30.23</hostname>
        <username>ossec</username>
        <password>ossec</password>
        <database>ossec</database>
        <type>mysql</type>
    </database_output>

## 在ossec.conf添加ip網段配置   
  <remote>
    <connection>syslog</connection>
    <allowed-ips>172.16.0.0/16</allowed-ips>
  </remote>

## 添加郵件信息
  <global>
    <email_notification>no</email_notification>
    <email_to>[email protected]</email_to>
    <smtp_server>smtp.your_domain.com.</smtp_server>
    <email_from>[email protected]_domain.com.</email_from>
  </global>

在服務端添加代理端主機:

# 在ossec-server的docker環境裏
/var/ossec/bin/manage_agents

# 在出現的選擇中選A,添加agent,分別給填寫:
ossec-agent    #自己取的名字
172.16.30.22   #agent服務器的IP
022            #自己規定的ID

在服務端獲取代理端的KEY:

# 在ossec-server的docker環境裏
/var/ossec/bin/manage_agents`

# 在出現的選擇中選E,在隨後的提示裏輸入ID號:022,
就能得到ID為022的agent主機的KEY

啟動ossec服務端

# 在ossec-server的docker環境裏
/var/ossec/bin/ossec-control start

4、ossec-agent客戶端安裝

使用yum安裝ossec-agent

ossec-agent是使用yum安裝,在要監控的agent服務器中操作:

wget -q -O - https://updates.atomicorp.com/installers/atomic |sh

yum install ossec-hids ossec-hids-client

配置ossec-agent配置文件

配置ossec-agent的配置文件,我們需要刪除ossec-agent.conf的配置信息,因為這與ossec-server服務器上的配置重復了,不處理會在啟動出現報錯。

vim /var/ossec/etc/ossec-agent.conf

# 將ossec-agent.conf文件裏的內容刪減到只剩:
<!-- OSSEC example config -->

<ossec_config>
  <client>
    <server-ip>172.16.30.23</server-ip>
  </client>

</ossec_config>

在agent添加KEY:

/var/ossec/bin/manage_agents

# 輸入I,將ID022的agent機器的KEY加入

啟動ossec-agent客戶端:

/var/ossec/bin/ossec-control start

三、ossec的server和agent連接查看

查看ossec連接情況

在ossec服務端,查看agent的連接情況

# 在ossec-server的docker環境裏
/var/ossec/bin/agent_control -l
#
OSSEC HIDS agent_control. List of available agents:
   ID: 000, Name: cacee8d64533 (server), IP: 127.0.0.1, Active/Local
   ID: 001, Name: DEFAULT_LOCAL_AGENT, IP: 127.0.0.1, Never connected
   ID: 022, Name: ossec-agent22, IP: 172.16.30.22, Active

# 顯示ID:022的活動狀態為Active,即為連接成功在活動中

OSSEC安全監控環境搭建(docker+yum)安裝