OSSEC安全監控環境搭建(docker+yum)安裝
阿新 • • 發佈:2018-09-05
smtp mic man oss 代理端 available 軟件 put www 一、搭建環境
參看文章:
ossec官方安裝文檔
全網最詳細的最新穩定OSSEC搭建部署(ossec-server(CentOS7.X)和ossec-agent(CentOS7.X))(圖文詳解)
系統:Centos7
計算機 | IP |
---|---|
ossec-server | 172.16.30.23 |
ossec-agent | 172.16.30.24 |
安裝軟件及版本:
ossec3.0
mariadb5.5.6
安裝方式:
ossec-server: 服務端使用docker安裝
ossec-agent:客戶端使用yum安裝
數據庫:安裝在ossec-server服務端
二、搭建流程
1、安裝前環境準備(服務器和客戶端都需要操作)
關閉selinux
setenforce 0
sed -i ‘s#enforcing#disabled#g‘ /etc/selinux/config
關閉防火墻
systemctl stop firewalld.service
systemctl disable firewalld.service
2、數據庫安裝和ossec數據庫配置
在ossec服務端安裝數據庫
使用yum安裝mariadb
yum install -y mariadb-server mariadb mariadb-devel systemctl start mariadb systemctl enable mariadb
初始化mariadb
mysql_secure_installation
#設置root,密碼root(自行修改)
創建ossec的數據庫及授權
mysql -uroot -proot
create database ossec;
grant all on ossec.* to ossec@localhost; #授權
set password for ossec@localhost=password(‘ossec‘); #給ossec帳號創建密碼
flush privileges;
exit
添加ossec數據庫表結構
下載ossec二進制文件,主要使用其中mysql.schema文件,ossec-hids-3.0.0.tar.gz的下載地址:
ossec官網下載地址:https://github.com/ossec/ossec-hids/archive/3.0.0.tar.gz
ossec-hids-3.0.0.tar.gz百度雲下載地址:鏈接:https://pan.baidu.com/s/1gG1DbgQhfOPbE8ISej0yHA 密碼:38r8
下載ossec-hids-3.0.0.tar.gz後進行操作:
cd /usr/local/src
tar zxf ossec-hids-3.0.0.tar.gz
cd ossec-hids-3.0.0
mysql -uossec -p ossec < ./src/os_dbd/mysql.schema
ossec表結構添加完成
3、ossec-server服務端安裝
使用docker安裝ossec服務端
參考:Centos7系統下Docker ce的安裝及鏡像加速
docker安裝完成後,使用以下命令安裝ossec-sever的安裝:
docker run --name ossec-server -d -p 1514:1514/udp -p 1515:1515 -e SYSLOG_FORWADING_ENABLED=true -e SYSLOG_FORWARDING_SERVER_IP=172.16.30.23 -v /var/ossec/data:/var/ossec/data xetusoss/ossec-server
docker命令解釋:
--name:該docker容器命名為ossec-server
-d:後臺運行
-p 1514:1514/udp -p 1515:1515 : 映射宿主機和docker容器端口號
-e SYSLOG_FORWADING_ENABLED=true -e SYSLOG_FORWARDING_SERVER_IP=172.16.30.23 :
-v /var/ossec/data:/var/ossec/data : 掛載容器路徑
xetusoss/ossec-server : 使用鏡像倉庫地址
docker容器啟動成功後,進入ossec-sever容器操作:
dokcer ps
# 進入docker容器的命令
docker exec -it ossec-server bash
在docker容器對ossec-server服務端進行配置操作:
# 添加ossec對數據庫的支持
/var/ossec/bin/ossec-control enable database
# 給ossec.conf文件授權
chmod u+w /var/ossec/etc/ossec.conf
# 編輯ossec.conf文件
vi /var/ossec/data/etc/ossec.conf
## 在ossec.conf添加MySQL配置:
<database_output>
<hostname>172.16.30.23</hostname>
<username>ossec</username>
<password>ossec</password>
<database>ossec</database>
<type>mysql</type>
</database_output>
## 在ossec.conf添加ip網段配置
<remote>
<connection>syslog</connection>
<allowed-ips>172.16.0.0/16</allowed-ips>
</remote>
## 添加郵件信息
<global>
<email_notification>no</email_notification>
<email_to>[email protected]</email_to>
<smtp_server>smtp.your_domain.com.</smtp_server>
<email_from>[email protected]_domain.com.</email_from>
</global>
在服務端添加代理端主機:
# 在ossec-server的docker環境裏
/var/ossec/bin/manage_agents
# 在出現的選擇中選A,添加agent,分別給填寫:
ossec-agent #自己取的名字
172.16.30.22 #agent服務器的IP
022 #自己規定的ID
在服務端獲取代理端的KEY:
# 在ossec-server的docker環境裏
/var/ossec/bin/manage_agents`
# 在出現的選擇中選E,在隨後的提示裏輸入ID號:022,
就能得到ID為022的agent主機的KEY
啟動ossec服務端
# 在ossec-server的docker環境裏
/var/ossec/bin/ossec-control start
4、ossec-agent客戶端安裝
使用yum安裝ossec-agent
ossec-agent是使用yum安裝,在要監控的agent服務器中操作:
wget -q -O - https://updates.atomicorp.com/installers/atomic |sh
yum install ossec-hids ossec-hids-client
配置ossec-agent配置文件
配置ossec-agent的配置文件,我們需要刪除ossec-agent.conf的配置信息,因為這與ossec-server服務器上的配置重復了,不處理會在啟動出現報錯。
vim /var/ossec/etc/ossec-agent.conf
# 將ossec-agent.conf文件裏的內容刪減到只剩:
<!-- OSSEC example config -->
<ossec_config>
<client>
<server-ip>172.16.30.23</server-ip>
</client>
</ossec_config>
在agent添加KEY:
/var/ossec/bin/manage_agents
# 輸入I,將ID022的agent機器的KEY加入
啟動ossec-agent客戶端:
/var/ossec/bin/ossec-control start
三、ossec的server和agent連接查看
查看ossec連接情況
在ossec服務端,查看agent的連接情況
# 在ossec-server的docker環境裏
/var/ossec/bin/agent_control -l
#
OSSEC HIDS agent_control. List of available agents:
ID: 000, Name: cacee8d64533 (server), IP: 127.0.0.1, Active/Local
ID: 001, Name: DEFAULT_LOCAL_AGENT, IP: 127.0.0.1, Never connected
ID: 022, Name: ossec-agent22, IP: 172.16.30.22, Active
# 顯示ID:022的活動狀態為Active,即為連接成功在活動中
OSSEC安全監控環境搭建(docker+yum)安裝