入侵檢測系統(tǒng)ossec配置文件詳解
入侵檢測系統(tǒng)ossec配置文件詳解
在互聯(lián)網(wǎng)時代里面,網(wǎng)絡(luò)安全防護(hù)很重,那么你知道入侵檢測系統(tǒng)ossec配置文件的知識嗎?下面是學(xué)習(xí)啦小編整理的一些關(guān)于入侵檢測系統(tǒng)ossec配置文件詳解的相關(guān)資料,供你參考。
入侵檢測系統(tǒng)ossec配置文件詳解:
OSSEC是一款開源的多平臺的入侵檢測系統(tǒng),可以運行于 Windows, Linux, OpenBSD/FreeBSD, 以及 MacOS等操作系統(tǒng)中。包括了日志分析,全面檢測,root-kit檢測。本文由FB會員Rozero帶來的OSSEC系列文章第一篇
之前看過@lion_00 關(guān) 于ossec的連載,我個人對ossec也小有研究,之前用過很長一段時間,ossec難點主要在于其配置文件復(fù)雜,不好配置,另外ossec基本沒有國 內(nèi)的文章也給學(xué)習(xí)造成了不便,使得ossec知道的人很有限,只有少數(shù)幾家互聯(lián)網(wǎng)公司在使用。趁著周末有空,翻譯了下ossec文檔里的部分比較常用的配 置選項,希望可以給大家一些幫助。
在unix,linux或者bsd上安裝ossec hids,默認(rèn)安裝路徑是/var/ossec,在啟動過程中ossec hids會將目錄chroot,并且配置文件和規(guī)則也從該目錄讀取,下邊科普下,ossec下目錄結(jié)構(gòu)及各個模塊都有啥用:
#核心配置文件:
ossec.conf #ossec hids主要配置文件
internal_options.conf: #額外配置選項文件
decoders.xml: #文件解碼器,各種規(guī)則都在這里寫來調(diào)用
client.keys: #用于客戶端與服務(wù)器認(rèn)證通信
/var/ossec/bin #目錄包含ossec hids使用的二進(jìn)制文件。
/var/ossec/etc #目錄包含所有ossec hids使用的配置文件
#日志文件:
/var/ossec/logs: #包含有關(guān)ossec hids所有的日志目錄
ossec.log: #包含osse hids所有日志(error,warn,info和其他)
alerts/alerts.log #ossec hids報警日志
active-responses.log #ossec hids響應(yīng)日志
#隊列:
/var/ossec/queue #目錄包含ossec hids隊列文件
agent-info #目錄包含操作系統(tǒng)版本、ossec hids版本等信息
syscheck #目錄包含每個agent的數(shù)據(jù)校驗日志
rootcheck #目錄包含每個agent,rootkit檢查數(shù)據(jù)和監(jiān)控規(guī)則。
rids #目錄包含agent ids信息
#規(guī)則
/var/log/rules #目錄包含所有osse hids規(guī)則
/var/log/stats #目錄包含每秒統(tǒng)計數(shù)據(jù)等文件
了解ossec hids配置文件:
我們將開始了解如何在unix,linux和bsd上本地/服務(wù)器進(jìn)行配置。ossec hids主要配置文件名叫ossec.conf,該文件使用xml表記語言編寫,ossec hids配置文件選擇位于中,該配置文件包含如下段落:
#全局配置配置 #郵件和日志報警選項 #細(xì)力度郵件配置文件 #該選項只允許在server端配置 #數(shù)據(jù)庫輸出選項 #包含規(guī)則列表 #agent有關(guān)配置文件選項 #日志文件監(jiān)控配置選項 #系統(tǒng)檢查配置文件選項 #rootki發(fā)現(xiàn)和規(guī)則監(jiān)控選項 #主機響應(yīng)配置選項 #惡意主機響應(yīng)配置選項
配置報警級別及收集所有日志:
每個報警都有一個嚴(yán)重級別報警等級,ossec的等級是這樣分配的,0到15,15是最高等級,0是最低等級,默認(rèn)情況下每個警報是從1到15,在 ossec hids配置文件選項中報警級別7以上的都會發(fā)送郵件報警,如果修改ossec.conf中的報警配置選項,可以修改如下配置:
2 8
上邊的配置文件,只記錄2以上的報警級別日志,并且報警級別高于8以上的報警都會發(fā)送郵件。
收集日志:
除了記錄每一條報警和每一個事件記錄外你可以配置ossec hids接收所有日志,配置文件如下:
yes
配置郵件:
默認(rèn)情況下,在安裝ossec hids server的時候會提示你配置郵件發(fā)信,但這個發(fā)信里默認(rèn)只寫入一條收件人,假如我有多個收件人是不是沒辦法了呢?答案當(dāng)然不是,ossec hids里可以這樣配置多個收件人,這里以gmail為例子:
yes root@gmail.com< email_to > smtp@gmail.com< smtp_server > webmaster@gmail.com 20
默認(rèn)的配置文件是這樣,如添加其他人可以這樣,lost@gmail.com即可添 加lost這個用戶加入收件人列表。如果不需要配置文件怎么辦呢?ossec hids也可以關(guān)閉掉郵件選項,設(shè)置配置如下:
no
也可以讓某個郵箱只接受特定級別的郵件,配置文件可以這樣寫:
oncall@fakeinc.com 10 sms
安全選項配置:
眾所周知,ossec收集日志的服務(wù)也是采用syslog,只不過它會開啟個1514的udp端口來接收數(shù)據(jù),這其實和514端口并無差別不是嗎,但為了安全考慮,需要允許指定的機器來連接我們的syslog服務(wù),配置文件可以這樣寫:
secure 192.168.10.0/24
上邊的意思就是允許這個網(wǎng)段來連接syslog服務(wù)接收數(shù)據(jù)。
監(jiān)控文件變化:
ossec還可以做為文件監(jiān)控來監(jiān)視網(wǎng)站目錄下的變動情況,ossec檢測文件的時候分為幾個部分:check_all、check_sum、 check_size、check_onwer、check_group、check_perm,如果是檢測網(wǎng)站變動的話,可以在ossec.conf里 寫入如下配置:
/var/www/htdocs
上邊的配置是檢查網(wǎng)站的任何變動,包括文件大小發(fā)生變化,權(quán)限變化等。
看過文章“入侵檢測系統(tǒng)ossec配置文件詳解”的人還看了:
3.計算機網(wǎng)絡(luò)系統(tǒng)安全保密技術(shù)的介紹
4.常用網(wǎng)絡(luò)安全技術(shù)有哪些(2)
5.詳解網(wǎng)絡(luò)安全中防火墻和IDS的作用
8.淺談計算機網(wǎng)絡(luò)信息安全的技術(shù)
9.計算機網(wǎng)絡(luò)信息安全的論文三篇非法入侵者主要通過計算機網(wǎng)絡(luò)設(shè)...