资源描述:
《在solaris网络部署hids配置实战(下)》由会员上传分享,免费在线阅读,更多相关内容在工程资料-天天文库。
1、在Solaris网络部署HIDS配置实战(下)~教育资源库 上文介绍IDS基础和OSSEC的技术特点,下面笔者以Solaris10操作系统为实例介绍配置具体过程。这里包括几个方面首先是ossec-hids-1.5在Solaris10服务器进行安装和配置,然后再Linux工作站、ake工具。只是Unix工作的基础,读者可以查看相关资料进行配置,笔者略过。另外硬件方面根据监控的主机数量如表-1配置。IDS代理客户端数量IDS服务器CPU数量IDS服务器CPU速度IDS服务器内存容量IDS服务器用于客户端的磁盘存储容
2、量1–1001大于1500MHZ1024MB20GB以上100-200双核或者多处理器大于2000MHZ1024MB以上40GB以上 1、软件下载安装 #portOSSEC-GPG-KEY.asc #gpg--verifyfile.sigfile 说明通过gpg验证可以保证软件包安全。 #gunzipossec-hids-1.5.tar.gz #tarvxfossec-hids-1.5.tar #cdossec-hids-1.5 #./install 开始安装界面如图1。 图1开
3、始安装 首先是语言选择由于笔者使用Solaris10服务器不能支持UTF编码格式,所以汉字显示为乱码,所以选择英文安装不过这应当是Unix系统管理员基本功,不过在Linux下是可以使用中文安装的。接着系统进行检测主机情况如图2。 图2检测主机情况 说明OSSEC需要以root权限安装。按ENTER继续或Ctrl-C退出。 下面是具体安装步骤,包括三大部分若干小部分: 您希望哪一种安装,如图3。 图3选择安装类型 说明:您可以有三种安装选项:服务器端安装(server),代理端(agent)或本地安装
4、(local):如果选择'服务器端安装(server)',您将可以分析所有日志,发送e-mail告警及联动,接收远端机器的syslog日志,接收代理端发回的日志(代理端发回的日志是经过加密的).如果您选择'代理端安装(agent)',您将可以读取本机文件(syslog,snort,apache等)并将它们发送给服务器端(加密过后)进行分析.如果选择'本地安装(local)',除了不能接收远程机器或代理端发回的信息外,你可以作服务器(server)安装能做的任何事情。
5、如果您希望安装一个日志分析服务器,请选择'server'.,如果您已经有一台日志分析服务器并且希望将本机的日志传送给它,请选择'agent'.(这是ailnotification?(y/n)[y]:y -TPserverip/host?yoursmtpserveraddress(localhost) -Doyouon?(y/n)[y]:y -Runningsyscheck(integritycheckdaemon). -Doyouandbasedontheeventsrec
6、eived.Forexample, youcanblockanIPaddressordisableaccessfor aspecificuser. Moreinformationat: en/manual.html#active-response -Doyoueotherformsofattacks.Youcan alsoaddthemtoblockonsnortevents,forexample. -DoyouoreIPstotheessages --/var/log/auth.log --/
7、var/log/syslog --/var/log/mail.info --/var/log/apache2/error.log(apachelog) --/var/log/apache2/access.log(apachelog) -Ifyouonitoranyotherfile,justchange theossec.confandaddaneanual.html#active-response -您希望开启联动(activeresponse)功能吗?(y/n)[y]: -关联响应已开启 -默
8、认情况下,我们开启了主机拒绝和防火墙拒绝两种响应. 第一种情况将添加一个主机到/etc/hosts.deny. 第二种情况将在iptables(linux)或ipfilter(Solaris,FreeBSD或NetBSD)中拒绝该主机的访问. -该功能可以用以阻止SSHD暴力攻击,端口扫描和其他 一些形式的攻击.同样你也可以将他们添加到其他地方,例如将他们添加为s