學(xué)習(xí)啦 > 學(xué)習(xí)電腦 > 電腦安全 > 網(wǎng)絡(luò)安全知識 > 入侵檢測系統(tǒng)ossec配置文件詳解

入侵檢測系統(tǒng)ossec配置文件詳解

時間: 權(quán)威724 分享

入侵檢測系統(tǒng)ossec配置文件詳解

  在互聯(lián)網(wǎng)時代里面,網(wǎng)絡(luò)安全防護很重,那么你知道入侵檢測系統(tǒng)ossec配置文件的知識嗎?下面是學(xué)習(xí)啦小編整理的一些關(guān)于入侵檢測系統(tǒng)ossec配置文件詳解的相關(guān)資料,供你參考。

  入侵檢測系統(tǒng)ossec配置文件詳解:

  OSSEC是一款開源的多平臺的入侵檢測系統(tǒng),可以運行于 Windows, Linux, OpenBSD/FreeBSD, 以及 MacOS等操作系統(tǒng)中。包括了日志分析,全面檢測,root-kit檢測。本文由FB會員Rozero帶來的OSSEC系列文章第一篇

  之前看過@lion_00 關(guān) 于ossec的連載,我個人對ossec也小有研究,之前用過很長一段時間,ossec難點主要在于其配置文件復(fù)雜,不好配置,另外ossec基本沒有國 內(nèi)的文章也給學(xué)習(xí)造成了不便,使得ossec知道的人很有限,只有少數(shù)幾家互聯(lián)網(wǎng)公司在使用。趁著周末有空,翻譯了下ossec文檔里的部分比較常用的配 置選項,希望可以給大家一些幫助。

  在unix,linux或者bsd上安裝ossec hids,默認(rèn)安裝路徑是/var/ossec,在啟動過程中ossec hids會將目錄chroot,并且配置文件和規(guī)則也從該目錄讀取,下邊科普下,ossec下目錄結(jié)構(gòu)及各個模塊都有啥用:

  #核心配置文件:

  ossec.conf #ossec hids主要配置文件

  internal_options.conf: #額外配置選項文件

  decoders.xml: #文件解碼器,各種規(guī)則都在這里寫來調(diào)用

  client.keys: #用于客戶端與服務(wù)器認(rèn)證通信

  /var/ossec/bin #目錄包含ossec hids使用的二進制文件。

  /var/ossec/etc #目錄包含所有ossec hids使用的配置文件

  #日志文件:

  /var/ossec/logs: #包含有關(guān)ossec hids所有的日志目錄

  ossec.log: #包含osse hids所有日志(error,warn,info和其他)

  alerts/alerts.log #ossec hids報警日志

  active-responses.log #ossec hids響應(yīng)日志

  #隊列:

  /var/ossec/queue #目錄包含ossec hids隊列文件

  agent-info #目錄包含操作系統(tǒng)版本、ossec hids版本等信息

  syscheck #目錄包含每個agent的數(shù)據(jù)校驗日志

  rootcheck #目錄包含每個agent,rootkit檢查數(shù)據(jù)和監(jiān)控規(guī)則。

  rids #目錄包含agent ids信息

  #規(guī)則

  /var/log/rules #目錄包含所有osse hids規(guī)則

  /var/log/stats #目錄包含每秒統(tǒng)計數(shù)據(jù)等文件

  了解ossec hids配置文件:

  我們將開始了解如何在unix,linux和bsd上本地/服務(wù)器進行配置。ossec hids主要配置文件名叫ossec.conf,該文件使用xml表記語言編寫,ossec hids配置文件選擇位于中,該配置文件包含如下段落:

  #全局配置配置 #郵件和日志報警選項 #細(xì)力度郵件配置文件 #該選項只允許在server端配置 #數(shù)據(jù)庫輸出選項 #包含規(guī)則列表 #agent有關(guān)配置文件選項 #日志文件監(jiān)控配置選項 #系統(tǒng)檢查配置文件選項 #rootki發(fā)現(xiàn)和規(guī)則監(jiān)控選項 #主機響應(yīng)配置選項 #惡意主機響應(yīng)配置選項

  配置報警級別及收集所有日志:

  每個報警都有一個嚴(yán)重級別報警等級,ossec的等級是這樣分配的,0到15,15是最高等級,0是最低等級,默認(rèn)情況下每個警報是從1到15,在 ossec hids配置文件選項中報警級別7以上的都會發(fā)送郵件報警,如果修改ossec.conf中的報警配置選項,可以修改如下配置:

  2 8

  上邊的配置文件,只記錄2以上的報警級別日志,并且報警級別高于8以上的報警都會發(fā)送郵件。

  收集日志:

  除了記錄每一條報警和每一個事件記錄外你可以配置ossec hids接收所有日志,配置文件如下:

  yes

  配置郵件:

  默認(rèn)情況下,在安裝ossec hids server的時候會提示你配置郵件發(fā)信,但這個發(fā)信里默認(rèn)只寫入一條收件人,假如我有多個收件人是不是沒辦法了呢?答案當(dāng)然不是,ossec hids里可以這樣配置多個收件人,這里以gmail為例子:

  yes root@gmail.com< email_to > smtp@gmail.com< smtp_server > webmaster@gmail.com 20

  默認(rèn)的配置文件是這樣,如添加其他人可以這樣,lost@gmail.com即可添 加lost這個用戶加入收件人列表。如果不需要配置文件怎么辦呢?ossec hids也可以關(guān)閉掉郵件選項,設(shè)置配置如下:

  no

  也可以讓某個郵箱只接受特定級別的郵件,配置文件可以這樣寫:

  oncall@fakeinc.com 10 sms

  安全選項配置:

  眾所周知,ossec收集日志的服務(wù)也是采用syslog,只不過它會開啟個1514的udp端口來接收數(shù)據(jù),這其實和514端口并無差別不是嗎,但為了安全考慮,需要允許指定的機器來連接我們的syslog服務(wù),配置文件可以這樣寫:

  secure 192.168.10.0/24

  上邊的意思就是允許這個網(wǎng)段來連接syslog服務(wù)接收數(shù)據(jù)。

  監(jiān)控文件變化:

  ossec還可以做為文件監(jiān)控來監(jiān)視網(wǎng)站目錄下的變動情況,ossec檢測文件的時候分為幾個部分:check_all、check_sum、 check_size、check_onwer、check_group、check_perm,如果是檢測網(wǎng)站變動的話,可以在ossec.conf里 寫入如下配置:

  /var/www/htdocs

  上邊的配置是檢查網(wǎng)站的任何變動,包括文件大小發(fā)生變化,權(quán)限變化等。

  看過文章“入侵檢測系統(tǒng)ossec配置文件詳解”的人還看了:

  1.對入侵檢測系統(tǒng)進行探究

  2.怎么防網(wǎng)站攻擊

  3.計算機網(wǎng)絡(luò)系統(tǒng)安全保密技術(shù)的介紹

  4.常用網(wǎng)絡(luò)安全技術(shù)有哪些(2)

  5.詳解網(wǎng)絡(luò)安全中防火墻和IDS的作用

  6.教你如何解決無線網(wǎng)絡(luò)安全漏洞

  7.淺談基于計算機網(wǎng)絡(luò)安全及防范策略

  8.淺談計算機網(wǎng)絡(luò)信息安全的技術(shù)

  9.計算機網(wǎng)絡(luò)信息安全的論文三篇非法入侵者主要通過計算機網(wǎng)絡(luò)設(shè)...

  10.企業(yè)網(wǎng)絡(luò)安全漏洞分析評估

567317