入侵檢測(cè)系統(tǒng)ossec配置文件詳解
入侵檢測(cè)系統(tǒng)ossec配置文件詳解
在互聯(lián)網(wǎng)時(shí)代里面,網(wǎng)絡(luò)安全防護(hù)很重,那么你知道入侵檢測(cè)系統(tǒng)ossec配置文件的知識(shí)嗎?下面是學(xué)習(xí)啦小編整理的一些關(guān)于入侵檢測(cè)系統(tǒng)ossec配置文件詳解的相關(guān)資料,供你參考。
入侵檢測(cè)系統(tǒng)ossec配置文件詳解:
OSSEC是一款開源的多平臺(tái)的入侵檢測(cè)系統(tǒng),可以運(yùn)行于 Windows, Linux, OpenBSD/FreeBSD, 以及 MacOS等操作系統(tǒng)中。包括了日志分析,全面檢測(cè),root-kit檢測(cè)。本文由FB會(huì)員Rozero帶來(lái)的OSSEC系列文章第一篇
之前看過(guò)@lion_00 關(guān) 于ossec的連載,我個(gè)人對(duì)ossec也小有研究,之前用過(guò)很長(zhǎng)一段時(shí)間,ossec難點(diǎn)主要在于其配置文件復(fù)雜,不好配置,另外ossec基本沒(méi)有國(guó) 內(nèi)的文章也給學(xué)習(xí)造成了不便,使得ossec知道的人很有限,只有少數(shù)幾家互聯(lián)網(wǎng)公司在使用。趁著周末有空,翻譯了下ossec文檔里的部分比較常用的配 置選項(xiàng),希望可以給大家一些幫助。
在unix,linux或者bsd上安裝ossec hids,默認(rèn)安裝路徑是/var/ossec,在啟動(dòng)過(guò)程中ossec hids會(huì)將目錄chroot,并且配置文件和規(guī)則也從該目錄讀取,下邊科普下,ossec下目錄結(jié)構(gòu)及各個(gè)模塊都有啥用:
#核心配置文件:
ossec.conf #ossec hids主要配置文件
internal_options.conf: #額外配置選項(xiàng)文件
decoders.xml: #文件解碼器,各種規(guī)則都在這里寫來(lái)調(diào)用
client.keys: #用于客戶端與服務(wù)器認(rèn)證通信
/var/ossec/bin #目錄包含ossec hids使用的二進(jìn)制文件。
/var/ossec/etc #目錄包含所有ossec hids使用的配置文件
#日志文件:
/var/ossec/logs: #包含有關(guān)ossec hids所有的日志目錄
ossec.log: #包含osse hids所有日志(error,warn,info和其他)
alerts/alerts.log #ossec hids報(bào)警日志
active-responses.log #ossec hids響應(yīng)日志
#隊(duì)列:
/var/ossec/queue #目錄包含ossec hids隊(duì)列文件
agent-info #目錄包含操作系統(tǒng)版本、ossec hids版本等信息
syscheck #目錄包含每個(gè)agent的數(shù)據(jù)校驗(yàn)日志
rootcheck #目錄包含每個(gè)agent,rootkit檢查數(shù)據(jù)和監(jiān)控規(guī)則。
rids #目錄包含agent ids信息
#規(guī)則
/var/log/rules #目錄包含所有osse hids規(guī)則
/var/log/stats #目錄包含每秒統(tǒng)計(jì)數(shù)據(jù)等文件
了解ossec hids配置文件:
我們將開始了解如何在unix,linux和bsd上本地/服務(wù)器進(jìn)行配置。ossec hids主要配置文件名叫ossec.conf,該文件使用xml表記語(yǔ)言編寫,ossec hids配置文件選擇位于中,該配置文件包含如下段落:
#全局配置配置 #郵件和日志報(bào)警選項(xiàng) #細(xì)力度郵件配置文件 #該選項(xiàng)只允許在server端配置 #數(shù)據(jù)庫(kù)輸出選項(xiàng) #包含規(guī)則列表 #agent有關(guān)配置文件選項(xiàng) #日志文件監(jiān)控配置選項(xiàng) #系統(tǒng)檢查配置文件選項(xiàng) #rootki發(fā)現(xiàn)和規(guī)則監(jiān)控選項(xiàng) #主機(jī)響應(yīng)配置選項(xiàng) #惡意主機(jī)響應(yīng)配置選項(xiàng)
配置報(bào)警級(jí)別及收集所有日志:
每個(gè)報(bào)警都有一個(gè)嚴(yán)重級(jí)別報(bào)警等級(jí),ossec的等級(jí)是這樣分配的,0到15,15是最高等級(jí),0是最低等級(jí),默認(rèn)情況下每個(gè)警報(bào)是從1到15,在 ossec hids配置文件選項(xiàng)中報(bào)警級(jí)別7以上的都會(huì)發(fā)送郵件報(bào)警,如果修改ossec.conf中的報(bào)警配置選項(xiàng),可以修改如下配置:
2 8
上邊的配置文件,只記錄2以上的報(bào)警級(jí)別日志,并且報(bào)警級(jí)別高于8以上的報(bào)警都會(huì)發(fā)送郵件。
收集日志:
除了記錄每一條報(bào)警和每一個(gè)事件記錄外你可以配置ossec hids接收所有日志,配置文件如下:
yes
配置郵件:
默認(rèn)情況下,在安裝ossec hids server的時(shí)候會(huì)提示你配置郵件發(fā)信,但這個(gè)發(fā)信里默認(rèn)只寫入一條收件人,假如我有多個(gè)收件人是不是沒(méi)辦法了呢?答案當(dāng)然不是,ossec hids里可以這樣配置多個(gè)收件人,這里以gmail為例子:
yes root@gmail.com< email_to > smtp@gmail.com< smtp_server > webmaster@gmail.com 20
默認(rèn)的配置文件是這樣,如添加其他人可以這樣,lost@gmail.com即可添 加lost這個(gè)用戶加入收件人列表。如果不需要配置文件怎么辦呢?ossec hids也可以關(guān)閉掉郵件選項(xiàng),設(shè)置配置如下:
no
也可以讓某個(gè)郵箱只接受特定級(jí)別的郵件,配置文件可以這樣寫:
oncall@fakeinc.com 10 sms
安全選項(xiàng)配置:
眾所周知,ossec收集日志的服務(wù)也是采用syslog,只不過(guò)它會(huì)開啟個(gè)1514的udp端口來(lái)接收數(shù)據(jù),這其實(shí)和514端口并無(wú)差別不是嗎,但為了安全考慮,需要允許指定的機(jī)器來(lái)連接我們的syslog服務(wù),配置文件可以這樣寫:
secure 192.168.10.0/24
上邊的意思就是允許這個(gè)網(wǎng)段來(lái)連接syslog服務(wù)接收數(shù)據(jù)。
監(jiān)控文件變化:
ossec還可以做為文件監(jiān)控來(lái)監(jiān)視網(wǎng)站目錄下的變動(dòng)情況,ossec檢測(cè)文件的時(shí)候分為幾個(gè)部分:check_all、check_sum、 check_size、check_onwer、check_group、check_perm,如果是檢測(cè)網(wǎng)站變動(dòng)的話,可以在ossec.conf里 寫入如下配置:
/var/www/htdocs
上邊的配置是檢查網(wǎng)站的任何變動(dòng),包括文件大小發(fā)生變化,權(quán)限變化等。
看過(guò)文章“入侵檢測(cè)系統(tǒng)ossec配置文件詳解”的人還看了:
1.對(duì)入侵檢測(cè)系統(tǒng)進(jìn)行探究
3.計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)安全保密技術(shù)的介紹
4.常用網(wǎng)絡(luò)安全技術(shù)有哪些(2)
5.詳解網(wǎng)絡(luò)安全中防火墻和IDS的作用
6.教你如何解決無(wú)線網(wǎng)絡(luò)安全漏洞
7.淺談基于計(jì)算機(jī)網(wǎng)絡(luò)安全及防范策略
8.淺談?dòng)?jì)算機(jī)網(wǎng)絡(luò)信息安全的技術(shù)
9.計(jì)算機(jī)網(wǎng)絡(luò)信息安全的論文三篇非法入侵者主要通過(guò)計(jì)算機(jī)網(wǎng)絡(luò)設(shè)...