在 Rocky Linux 8 上安装 OSSEC 代理

本指南提供了有关如何在 Rocky Linux 8 上安装 OSSEC 代理的分步教程。 OSSEC 是一个基于开源主机的入侵检测系统,可执行日志分析、完整性检查、Windows 注册表监控、rootkit 检测、实时警报并积极响应。 它可以跨多个平台运行,包括 Linux、OpenBSD、FreeBSD、Mac OS X、Solaris 和 Windows 等。

在 Rocky Linux 8 上安装 OSSEC 代理

在这个演示中,我们将学习如何从源文件在 Rocky Linux 8 上安装 OSSEC 代理。

运行系统更新

在继续安装之前,请运行系统更新。

dnf update

安装所需的构建工具

在 Rocky Linux 8 上成功安装 OSSEC 需要在系统上安装相当多的依赖项。 运行下面的命令来安装这些依赖项。

dnf install gcc make libevent-devel zlib-devel openssl-devel pcre2-devel wget tar -y

下载最新的 OSSEC 源代码

在撰写本文时,OSSEC 3.6 是最新的稳定版本。 检查发布页面以获取最新版本。

wget https://github.com/ossec/ossec-hids/archive/3.6.0.tar.gz

提取 OSSEC 源代码

OSSEC源码下载完成后,解压如下;

tar xzf 3.6.0.tar.gz

在 Rocky Linux 8 上安装 OSSEC 代理

您现在可以通过两种方式在 Rocky Linux 8 上安装 OSSEC 代理。

  • 手动安装
  • 自动安装

在 Rocky Linux 8 上手动安装 OSSEC 代理

要在 Rocky Linux 8 上手动安装 OSSEC 代理,请导航到源代码目录并运行安装脚本。

cd ossec-hids-3.6.0/

执行安装组;

./install.sh

选择您的安装语言。 在这种情况下,我们选择默认安装语言,英语。

按 ENTER 选择默认安装选项。

(en/br/cn/de/el/es/fr/hu/it/jp/nl/pl/ru/sr/tr) [en]: ENTER

再次按 ENTER 继续。

-- Press ENTER to continue or Ctrl-C to abort. --

指定安装类型。 在我们的例子中,我们正在安装 ossec-hids agent,因此选择代理。

1- What kind of installation do you want (server, agent, local, hybrid or help)? agent

  - Agent(client) installation chosen.

选择安装路径。 我们使用默认值, /var/ossec.

2- Setting up the installation environment.

 - Choose where to install the OSSEC HIDS [/var/ossec]: 

    - Installation will be made at  /var/ossec .

Enter OSSEC-HIDs 服务器 IP 地址或主机名。 相应地替换此处使用的 IP。

3- Configuring the OSSEC HIDS.

  3.1- What's the IP Address or hostname of the OSSEC HIDS server?: 192.168.60.20                 

   - Adding Server IP 192.168.60.20

启用系统完整性检查

  3.2- Do you want to run the integrity check daemon? (y/n) [y]: y

   - Running syscheck (integrity check daemon).

启用 rootkit 检测引擎。

  3.3- Do you want to run the rootkit detection engine? (y/n) [y]: 

   - Running rootcheck (rootkit detection).

禁用主动响应。 否则,如果您了解所需的警报类型和数量,则可以启用它。

  3.4 - Do you want to enable active response? (y/n) [y]: n

   - Active response disabled.

然后代理安装程序会显示默认读取的日志文件。 您可以稍后添加更多 ossec.conf 文件。

  3.5- Setting the configuration to analyze the following logs:
    -- /var/log/messages
    -- /var/log/secure
    -- /var/log/maillog
...

完成定义默认选项后,按 ENTER 继续在 Rocky Linux 8 上安装 OSSEC 代理。

 - System is Redhat Linux.
 - Init script modified to start OSSEC HIDS during boot.

 - Configuration finished properly.

 - To start OSSEC HIDS:
      /var/ossec/bin/ossec-control start

 - To stop OSSEC HIDS:
      /var/ossec/bin/ossec-control stop

 - The configuration can be viewed or modified at /var/ossec/etc/ossec.conf


    Thanks for using the OSSEC HIDS.
    If you have any question, suggestion or if you find any bug,
    contact us at https://github.com/ossec/ossec-hids or using
    our public maillist at  
    https://groups.google.com/forum/#!forum/ossec-list

    More information can be found at https://www.ossec.net

    ---  Press ENTER to finish (maybe more information below). ---
    


 - You first need to add this agent to the server so they 
   can communicate with each other. When you have done so,
   you can run the 'manage_agents' tool to import the 
   authentication key from the server.
   
   /var/ossec/bin/manage_agents

   More information at: 
   https://www.ossec.net/en/manual.html#ma

OSSEC Agent 的自动安装

要自动安装 OSSEC 代理,请导航到源代码目录并运行以下命令;

cd ossec-hids*
cp etc/preloaded-vars.conf{.example,}
sed -i -e 's/#USER_LANGUAGE="en"/USER_LANGUAGE="en"/' -e 's/#USER_NO_STOP="y"/USER_NO_STOP="y"/' 
  -e 's/#USER_INSTALL_TYPE="agent"/USER_INSTALL_TYPE="agent"/' -e 's/#USER_DIR="/var/ossec"/USER_DIR="/var/ossec"/'
  -e 's/#USER_ENABLE_ACTIVE_RESPONSE="y"/USER_ENABLE_ACTIVE_RESPONSE="n"/' -e 's/#USER_ENABLE_SYSCHECK="y"/USER_ENABLE_SYSCHECK="y"/' 
  -e 's/#USER_ENABLE_ROOTCHECK="y"/USER_ENABLE_ROOTCHECK="y"/' 
  -e 's/# USER_AGENT_SERVER_IP="1.2.3.4"/ USER_AGENT_SERVER_IP="192.168.60.20"/' etc/preloaded-vars.conf

将上面的 192.168.60.20 替换为您的 OSSEC 服务器的 IP 地址。

接下来,运行安装;

./install.sh

将 OSSEC 代理连接到 OSSEC 服务器

要使代理与服务器通信,您可能需要先将其添加到服务器。

之后从服务器中提取代理身份验证密钥。

提取密钥后,通过运行以下命令在代理上导入密钥;

/var/ossec/bin/manage_agents

Enter 选项 一世, 粘贴密钥 确认添加密钥. 然后输入 按回车 退出。

运行 OSSEC 代理

安装完成后,安装程序会显示如何运行 OSSEC 代理。

启动代理;

/var/ossec/bin/ossec-control start

或者

systemctl start ossec

停止代理;

/var/ossec/bin/ossec-control stop

或者

systemctl stop ossec

其他单位服务控制指令;

/var/ossec/bin/ossec-control {start|stop|reload|restart|status}

您已经在 Rocky Linux 8 上成功安装了 OSSEC 代理,这标志着我们关于如何在 Rocky Linux 8 上安装 OSSEC 代理的指南结束。请保持联系以获取更多类似的教程。

进一步阅读

OSSEC 文档

相关教程

在 Debian 10 Buster 上安装 OSSEC 代理

如何在 Mac OS 上安装 OSSEC 代理

如何在 Solaris 11.4 上安装 OSSEC 代理

如何在 Ubuntu 18.04/CentOS 7 上安装和设置 OSSEC 代理