Инструменты пользователя

Инструменты сайта


сервис_ossec

Различия

Здесь показаны различия между двумя версиями данной страницы.

Ссылка на это сравнение

Предыдущая версия справа и слева Предыдущая версия
Следующая версия
Предыдущая версия
сервис_ossec [2019/03/15 16:07]
val
сервис_ossec [2020/07/21 09:36] (текущий)
val [Просмотр отчетов]
Строка 3: Строка 3:
   * [[https://​ru.wikipedia.org/​wiki/​OSSEC|OSSEC — Википедия]]   * [[https://​ru.wikipedia.org/​wiki/​OSSEC|OSSEC — Википедия]]
  
-  * [[http://forum.lissyara.su/viewtopic.php?​t=9588|www.lissyara.su - статья об OSSEC]] +  * [[https://habr.com/​ru/​post/​262479/|Инструкция: внедряем HIDS OSSEC]]
-  * [[http://​ossec-docs.readthedocs.io/​en/​latest/​manual/​agent/​agent-management.html|Managing Agents]] +
-  * [[http://​ossec-docs.readthedocs.io/​en/​latest/​faq/​syscheck.html|Syscheck:​ FAQ - How to force an immediate syscheck scan?]]+
  
   * [[http://​www.ossec.net/​downloads.html|OSSEC Downloads]]   * [[http://​www.ossec.net/​downloads.html|OSSEC Downloads]]
Строка 11: Строка 9:
 ===== Debian ===== ===== Debian =====
  
-==== Подключение =====+==== Подключение ​репозитория ​=====
 <​code>​ <​code>​
 # wget -q -O - https://​updates.atomicorp.com/​installers/​atomic | bash # wget -q -O - https://​updates.atomicorp.com/​installers/​atomic | bash
Строка 21: Строка 19:
 ==== Установка и запуск сервера ==== ==== Установка и запуск сервера ====
 <​code>​ <​code>​
-# apt install ossec-hids-server+lan# apt install ossec-hids-server
  
-# /​var/​ossec/​bin/​ossec-control start +lan# /​var/​ossec/​bin/​agent_control ​-l 
-возможно,​ лучше +...
-# systemctl status ossec.service +
- +
-# ss -panu | grep 1514+
 </​code>​ </​code>​
  
-==== Установка и запуск агента ====+==== Настройка сервера для ​подключения ​агента ==== 
 +<​code>​ 
 +lan# /​var/​ossec/​bin/​manage_agents 
 +... 
 +   (A)dd an agent (A). 
 +... 
 +Agent information:​ 
 +   ​ID:​001 
 +   ​Name:​server 
 +   IP Address:​192.168.X.10 
 +... 
 +   ​(E)xtract key for an agent (E). 
 +...
  
-Похоже,​ нельзя ставить вместе с сервером.+lan# /​var/​ossec/​bin/​ossec-control restart
  
 +lan# ss -panu | grep 1514
 +</​code>​
 +
 +==== Установка,​ запуск и подключение агента ====
 <​code>​ <​code>​
-# apt install ossec-hids-agent+server# apt install ossec-hids-agent
  
-# vim /​var/​ossec/​etc/​ossec.conf+server# vim /​var/​ossec/​etc/​ossec.conf 
 +</​code><​code>​
 <​ossec_config>​ <​ossec_config>​
   <​client>​   <​client>​
-    <​server-ip>​192.168.155.10</​server-ip>​+    <​server-ip>​192.168.100+X.10</​server-ip>​
 ... ...
 +</​code><​code>​
 +server# /​var/​ossec/​bin/​manage_agents
 +...
 +   ​(I)mport key from the server (I).
 +...
 +
 +server# /​var/​ossec/​bin/​ossec-control start
 </​code>​ </​code>​
  
-==== Подключение агента ==== +==== Проверка подключения агента ====
-С двух сторон запускаем:​+
 <​code>​ <​code>​
-# /​var/​ossec/​bin/​manage_agents+lan# /​var/​ossec/​bin/​agent_control -i 001 
 +...
 </​code>​ </​code>​
 +==== Контроль целостности файлов ====
 +<​code>​
 +server# cat /​var/​ossec/​etc/​ossec.conf
 +</​code><​code>​
 +...
 +  <​syscheck>​
 +    <!-- Frequency that syscheck is executed (default every 2 hours) -->
 +    <​frequency>​300</​frequency>​
 +    <​auto_ignore>​no</​auto_ignore>​
 +    <​directories check_all="​yes">/​usr/​local/​sbin</​directories>​
 +...
 +</​code><​code>​
 +server# /​var/​ossec/​bin/​ossec-control restart
 +</​code>​
 +
 ==== Просмотр отчетов ==== ==== Просмотр отчетов ====
  
-https://​ossec-docs.readthedocs.io/en/latest/​programs/​ossec-reportd.html+  * [[https://www.ossec.net/docs/docs/​programs/​ossec-reportd.html|ossec-reportd]] 
 +  * [[https://​www.ossec.net/​docs/​manual/​output/​reports-email-output.html|Daily E-Mail Reports]]
  
 <​code>​ <​code>​
-# cat /​var/​ossec/​logs/​alerts/​alerts.log | /​var/​ossec/​bin/​ossec-reportd -f level 1+lan# cat /​var/​ossec/​logs/​alerts/​alerts.log 
 + 
 +lan# cat /​var/​ossec/​logs/​alerts/​alerts.log | /​var/​ossec/​bin/​ossec-reportd -f level 
 + 
 +lan# cat /​var/​ossec/​logs/​alerts/​alerts.log | /​var/​ossec/​bin/​ossec-reportd -f group authentication -r user srcip
 </​code>​ </​code>​
сервис_ossec.1552655221.txt.gz · Последние изменения: 2019/03/15 16:07 — val