本指南提供了有关如何在 Rocky Linux 8 上安装 OSSEC 代理的分步教程。 OSSEC 是一个基于开源主机的入侵检测系统,可执行日志分析、完整性检查、Windows 注册表监控、rootkit 检测、实时警报并积极响应。 它可以跨多个平台运行,包括 Linux、OpenBSD、FreeBSD、Mac OS X、Solaris 和 Windows 等。
在 Rocky Linux 8 上安装 OSSEC 代理
在这个演示中,我们将学习如何从源文件在 Rocky Linux 8 上安装 OSSEC 代理。
运行系统更新
在继续安装之前,请运行系统更新。
dnf update
安装所需的构建工具
在 Rocky Linux 8 上成功安装 OSSEC 需要在系统上安装相当多的依赖项。 运行下面的命令来安装这些依赖项。
dnf install gcc make libevent-devel zlib-devel openssl-devel pcre2-devel wget tar -y
下载最新的 OSSEC 源代码
在撰写本文时,OSSEC 3.6 是最新的稳定版本。 检查发布页面以获取最新版本。
wget https://github.com/ossec/ossec-hids/archive/3.6.0.tar.gz
提取 OSSEC 源代码
OSSEC源码下载完成后,解压如下;
tar xzf 3.6.0.tar.gz
在 Rocky Linux 8 上安装 OSSEC 代理
您现在可以通过两种方式在 Rocky Linux 8 上安装 OSSEC 代理。
- 手动安装
- 自动安装
在 Rocky Linux 8 上手动安装 OSSEC 代理
要在 Rocky Linux 8 上手动安装 OSSEC 代理,请导航到源代码目录并运行安装脚本。
cd ossec-hids-3.6.0/
执行安装组;
./install.sh
选择您的安装语言。 在这种情况下,我们选择默认安装语言,英语。
按 ENTER 选择默认安装选项。
(en/br/cn/de/el/es/fr/hu/it/jp/nl/pl/ru/sr/tr) [en]: ENTER
再次按 ENTER 继续。
-- Press ENTER to continue or Ctrl-C to abort. --
指定安装类型。 在我们的例子中,我们正在安装 ossec-hids agent,因此选择代理。
1- What kind of installation do you want (server, agent, local, hybrid or help)? agent - Agent(client) installation chosen.选择安装路径。 我们使用默认值, /var/ossec.
2- Setting up the installation environment. - Choose where to install the OSSEC HIDS [/var/ossec]: - Installation will be made at /var/ossec .Enter OSSEC-HIDs 服务器 IP 地址或主机名。 相应地替换此处使用的 IP。
3- Configuring the OSSEC HIDS. 3.1- What's the IP Address or hostname of the OSSEC HIDS server?: 192.168.60.20 - Adding Server IP 192.168.60.20 启用系统完整性检查
3.2- Do you want to run the integrity check daemon? (y/n) [y]: y - Running syscheck (integrity check daemon).启用 rootkit 检测引擎。
3.3- Do you want to run the rootkit detection engine? (y/n) [y]: - Running rootcheck (rootkit detection).禁用主动响应。 否则,如果您了解所需的警报类型和数量,则可以启用它。
3.4 - Do you want to enable active response? (y/n) [y]: n - Active response disabled.然后代理安装程序会显示默认读取的日志文件。 您可以稍后添加更多 ossec.conf 文件。
3.5- Setting the configuration to analyze the following logs: -- /var/log/messages -- /var/log/secure -- /var/log/maillog ...完成定义默认选项后,按 ENTER 继续在 Rocky Linux 8 上安装 OSSEC 代理。
- System is Redhat Linux. - Init script modified to start OSSEC HIDS during boot. - Configuration finished properly. - To start OSSEC HIDS: /var/ossec/bin/ossec-control start - To stop OSSEC HIDS: /var/ossec/bin/ossec-control stop - The configuration can be viewed or modified at /var/ossec/etc/ossec.conf Thanks for using the OSSEC HIDS. If you have any question, suggestion or if you find any bug, contact us at https://github.com/ossec/ossec-hids or using our public maillist at https://groups.google.com/forum/#!forum/ossec-list More information can be found at https://www.ossec.net --- Press ENTER to finish (maybe more information below). --- - You first need to add this agent to the server so they can communicate with each other. When you have done so, you can run the 'manage_agents' tool to import the authentication key from the server. /var/ossec/bin/manage_agents More information at: https://www.ossec.net/en/manual.html#ma
OSSEC Agent 的自动安装
要自动安装 OSSEC 代理,请导航到源代码目录并运行以下命令;
cd ossec-hids*
cp etc/preloaded-vars.conf{.example,}
sed -i -e 's/#USER_LANGUAGE="en"/USER_LANGUAGE="en"/' -e 's/#USER_NO_STOP="y"/USER_NO_STOP="y"/' -e 's/#USER_INSTALL_TYPE="agent"/USER_INSTALL_TYPE="agent"/' -e 's/#USER_DIR="/var/ossec"/USER_DIR="/var/ossec"/' -e 's/#USER_ENABLE_ACTIVE_RESPONSE="y"/USER_ENABLE_ACTIVE_RESPONSE="n"/' -e 's/#USER_ENABLE_SYSCHECK="y"/USER_ENABLE_SYSCHECK="y"/' -e 's/#USER_ENABLE_ROOTCHECK="y"/USER_ENABLE_ROOTCHECK="y"/' -e 's/# USER_AGENT_SERVER_IP="1.2.3.4"/ USER_AGENT_SERVER_IP="192.168.60.20"/' etc/preloaded-vars.conf将上面的 192.168.60.20 替换为您的 OSSEC 服务器的 IP 地址。
接下来,运行安装;
./install.sh
将 OSSEC 代理连接到 OSSEC 服务器
要使代理与服务器通信,您可能需要先将其添加到服务器。
之后从服务器中提取代理身份验证密钥。
提取密钥后,通过运行以下命令在代理上导入密钥;
/var/ossec/bin/manage_agents
Enter 选项 一世, 粘贴密钥 和 确认添加密钥. 然后输入 问 和 按回车 退出。
运行 OSSEC 代理
安装完成后,安装程序会显示如何运行 OSSEC 代理。
启动代理;
/var/ossec/bin/ossec-control start
或者
systemctl start ossec
停止代理;
/var/ossec/bin/ossec-control stop
或者
systemctl stop ossec
其他单位服务控制指令;
/var/ossec/bin/ossec-control {start|stop|reload|restart|status}
您已经在 Rocky Linux 8 上成功安装了 OSSEC 代理,这标志着我们关于如何在 Rocky Linux 8 上安装 OSSEC 代理的指南结束。请保持联系以获取更多类似的教程。
进一步阅读
OSSEC 文档
相关教程
在 Debian 10 Buster 上安装 OSSEC 代理
如何在 Mac OS 上安装 OSSEC 代理
如何在 Solaris 11.4 上安装 OSSEC 代理
如何在 Ubuntu 18.04/CentOS 7 上安装和设置 OSSEC 代理
