追踪黑客神器，OSSEC入侵检测系统最详细的安装教程 _入侵检测

前言
OSSEC是一款开源的多平台的入侵检测系统，可以运行于windows, linux, OpenBSD/FreeBSD, 以及 macOS等操作系统中。包括了日志分析，全面检测，root-kit检测。网上能找到关于OSSEC的安装教程与详细使用并不多，本人实测，没有一个教程能完整照着文档的步骤安装成功吧。在安装过程中会存在许多坑等你来填。对于Linux并不是那么熟的人来说，OSSEC的安装并不容易，所以就有必要把OSSEC的安装教程重写一遍了。一是自己对OSSEC的安装做一个复习与总结，二也是希望能够帮助大家能快速上手这款功能强大的OSSEC入侵检测系统，毕竟商业版的IDS确定很贵的。大部分个人是无法承受的。

文章插图
【追踪黑客神器，OSSEC入侵检测系统最详细的安装教程】
一、准备工作
服务端：
准备好：centos6 64位（必须是Centos6 新机器）。
内存不小于: 1GB以上。
硬盘：20GB以上。
本次安装机器的IP：108.61.119.62
二、安装过程
2.1、关闭防火墙，因为ossec通信需要是用udp 514,1514端口等等端口对外，Agent才能上线。为了方便演示，咱们先直接关闭防火墙即可。
Centos 6关闭防火墙方式

service iptables stop #临时关闭防火墙
chkconfig iptables off #彻底关闭系统防火墙
service iptables status #查看防火墙的状态

[root@vultr ~]# service iptables stop iptables: Setting chains to policy ACCEPT: filter [ OK ]iptables: Flushing firewall rules: [ OK ]iptables: Unloading modules: [ OK ][root@vultr ~]# chkconfig iptables off [root@vultr ~]# 2.2、防火墙关闭好了后，我们来接着安装一些必要的工具：

如下应用： wget、gcc、make、MySQL、mysql-server、mysql-devel、httpd、php、php-mysql、sendmail

使用以下命令一键快速安装:：
yum install wget gcc make mysql mysql-server mysql-devel httpd php php-mysql sendmail2.3、没有报错即相应软件包安装完成：

文章插图
OSSEC
2.4、启动httpd、mysql、sendmail这三个服务：
命令:
[root@ossec-server ~] /etc/init.d/httpd start[root@ossec-server ~] /etc/init.d/mysqld start[root@ossec-server ~] /etc/init.d/sendmail start

文章插图

2.5、创建OSSEC数据库
命令:
[root@ossec-server ~] mysql -uroot -pmysql> create database ossec;mysql> grant INSERT,SELECT,UPDATE,CREATE,DELETE,EXECUTE on ossec.* to ossec@localhost;mysql> set password for ossec@localhost =PASSWORD('ossec');mysql> flush privileges;mysql> exit上面SQL的语句意思是新建一个ossec的用户，密码为：ossec，只可以在localhost上登录，ossec用户可以对ossec的所有表进行插入、查询、修改、插入、删除的操作。
2.6、下载OSSEC服务端
wget https://github.com/ossec/ossec-hids/archive/2.8.1.tar.gztar zxf 2.8.1.tar.gzcd ossec-hids-2.8.1/2.7、使OSSEC支持Mysql
cd src; make setdb; cd ..

文章插图

看到如下的信息说明可以正常支持MySQL：
2.8、正式安装OSSEC服务端
执行install.sh脚本，根据提示的选项填写，看我的：
OSSEC HIDS v2.8 安装脚本 - http://www.ossec.net 您将开始 OSSEC HIDS 的安装. 请确认在您的机器上已经正确安装了 C 编译器. 如果您有任何疑问或建议,请给 dcid@ossec.net (或 daniel.cid@gmail.com) 发邮件. - 系统类型: Linux vultr.guest 2.6.32-754.6.3.el6.x86_64 - 用户: root - 主机: vultr.guest -- 按 ENTER 继续或 Ctrl-C 退出. --1- 您希望哪一种安装 (server, agent, local or help)? server - 选择了 Server 类型的安装.2- 正在初始化安装环境. - 请选择 OSSEC HIDS 的安装路径 [/var/ossec]: /var/ossec - OSSEC HIDS 将安装在 /var/ossec .3- 正在配置 OSSEC HIDS. 3.1- 您希望收到e-mail告警吗? (y/n) [y]: n --- Email告警没有启用 . 3.2- 您希望运行系统完整性检测模块吗? (y/n) [y]: y - 系统完整性检测模块将被部署. 3.3- 您希望运行 rootkit检测吗? (y/n) [y]: y - rootkit检测将被部署. 3.4- 关联响应允许您在分析已接收事件的基础上执行一个已定义的命令. 例如,你可以阻止某个IP地址的访问或禁止某个用户的访问权限. 更多的信息,您可以访问: http://www.ossec.net/en/manual.html#active-response - 您希望开启联动(active response)功能吗? (y/n) [y]: n - 联动功能(Active response)被关闭. 3.5- 您希望接收远程机器syslog吗 (port 514 udp)? (y/n) [y]: y - 远程机器syslog将被接收. 3.6- 设置配置文件以分析一下日志: -- /var/log/messages -- /var/log/secure -- /var/log/maillog -- /var/log/httpd/error_log (Apache log) -- /var/log/httpd/access_log (apache log)-如果你希望监控其他文件, 只需要在配置文件ossec.conf中添加新的一项.任何关于配置的疑问您都可以在 http://www.ossec.net 找到答案. --- 按 ENTER 以继续 ---回车