OSSEC是一款開(kāi)源的多平臺(tái)的入侵檢測(cè)系統(tǒng)（HIDS），可以運(yùn)行于Windows，Linux，OpenBSD/FreeBSD，以及MacOS等操作系統(tǒng)中。OSSEC HIDS的主要功能有日志分析、完整性檢查、rootkit檢測(cè)、基于時(shí)間的警報(bào)和主動(dòng)響應(yīng)。

[[140090]]

本文將介紹如何在Ubuntu上安裝OSSEC。

OSSEC安裝

OSSEC可在下圖的網(wǎng)站上下載，該文件可以作為服務(wù)器或客戶端，具體為何種模式可在安裝過(guò)程中選擇。

現(xiàn)在提取命令*.tar.gz。

#tar -xf ossec-hids-2.8.1.tar.gz

運(yùn)行./install.sh，會(huì)出現(xiàn)以下選項(xiàng)：

服務(wù)器端安裝

首先，我們要選擇安裝語(yǔ)言：

隨后出現(xiàn)的是系統(tǒng)詳情；按回車（Enter）鍵繼續(xù)：

然后選擇安裝模式

1.服務(wù)器（Server）

服務(wù)器是它與代理/客戶端（agents/client）信息交換的關(guān)鍵部分。

2.代理（Agent）

在這種模式下，OSSEC將會(huì)向服務(wù)器發(fā)送事件，日志等信息。

3.本地模式（Local mode）

本地模式的安裝與服務(wù)器/客戶端模式（server/agent）的安裝相似。

4.混合（Hybrid）

這種模式下，會(huì)有一臺(tái)主機(jī)同時(shí)擔(dān)任服務(wù)器（server）和客戶端/代理（client/agent）功能。

#p#

服務(wù)器模式

1.在下面的窗口中，選擇需要的安裝模式：

2.選擇安裝目錄。其默認(rèn)目錄為/var/ossec

3.設(shè)置郵箱和SMTP（Simple Mail Transfer Protocol）即簡(jiǎn)單郵件傳輸協(xié)議：

4.運(yùn)行文件監(jiān)控（syscheck）：

5.運(yùn)行rootcheck，檢測(cè)rootkits：

6.運(yùn)行active response：

7.發(fā)送auth.log,syslog,dpkg和apache log：

8.完成上面的設(shè)置后，按回車鍵繼續(xù)：

9.完成之前，它會(huì)提示你一些信息，如下圖：

10.按回車鍵完成安裝：

#p#

安裝OSSEC客戶端

現(xiàn)在我們開(kāi)始客戶端安裝。

1.選擇代理模式（agent）：

2.選擇安裝路徑（默認(rèn)為/var/ossec）：

3.IP地址設(shè)置（192.168.10）：

4.運(yùn)行syscheck：

5.啟用rootcheck功能：

6.啟用active response功能：

7.按回車鍵開(kāi)始安裝：

8.按回車鍵完成安裝：

結(jié)語(yǔ)

本文已經(jīng)介紹了，如何在烏班圖上，安裝開(kāi)源的HIDS軟件：OSSEC。后面，還會(huì)陸續(xù)更新相關(guān)技能。

另外，OSSEC的客戶端還需要服務(wù)器生成的密碼；然后我們就可以檢測(cè)啦?。▓D片來(lái)源Linoxide）