CentOS 5.5下搭建文件防篡改系统OSSEC

OSSEC简要介绍:

OSSEC 是一款开源的入侵检测系统,包括了日志分析,全面检测,rook-kit检测。作为一款HIDS,OSSEC应该被安装在一台实施监控的系统中。另外有时候不需要安装完全版本的OSSEC,如果有多台电脑都安装了OSSEC,那么就可以采用客户端/服务器模式来运行。客户机通过客户端程序将数据发回到服务器端进行分析。在一台电脑上对多个系统进行监控对于企业或者家庭用户来说都是相当经济实用的。

CentOS 5.5下搭建文件防篡改系统OSSEC

环境:
CentOS5.5 x86_64
ossec-hids-2.7-beta1
10.10.10.240 ossec server
10.10.10.141 ossec client1

下载软件包
wget http://www.ossec.net/files/ossec-hids-2.7-beta-1.tar.gz

一、ossec server安装
配置源码,使能够兼容mysql
[root@logserver src]# tar -xf ossec-hids-2.7-beta-1.tar.gz
[root@logserver src]# cd ossec-hids-2.7-beta1/
[root@logserver ossec-hids-2.7-beta1]# cd src
[root@logserver src]# make setdb
Info: Compiled with MySQL support
[root@logserver ossec-hids-2.7-beta1]# ./install.sh
[root@logserver ossec-hids-2.7-beta1]# /var/ossec/bin/ossec-control enable database
[root@logserver ossec-hids-2.7-beta1]# mysql -u root -p
mysql>  create database ossec;
Query OK, 1 row affected (0.04 sec)

mysql> grant INSERT,SELECT,UPDATE,CREATE,DELETE,EXECUTE on ossec.* to ossecuser@ identified by 'ossecpass';
Query OK, 0 rows affected (0.10 sec)
mysql> flush privileges;
Query OK, 0 rows affected (0.00 sec)
[root@logserver ossec-hids-2.7-beta1]# cd contrib/
[root@logserver contrib]# vim ossec2mysql.conf

# PARAMS USED BY  OSSEC2BASED
dbhost=localhost
database=ossecuser
debug=5
dbport=3306
dbpasswd=ossecpass
dbuser=ossec
daemonize=0
sensor=centralserver
hids_inter>

导入数据
[root@logserver contrib]# mysql -u ossecuser -p < /usr/local/src/ossec-hids-2.7-beta1/contrib/ossec2mysql.sql

在末尾添加
 <database_output>
        <hostname>10.10.10.137</hostname>
        <username>ossecuser</username>
        <password>ossecpass</password>
        <database>ossec</database>
        <type>mysql</type>
    </database_output>
</ossec_config>
 
2.启动ossec
[root@logserver etc]# /var/ossec/bin/ossec-control restart
添加agent key

二、ossec cilent安装
 tar xf ossec-hids-2.7-beta-1.tar.gz
 cd ossec-hids-2.7-beta1/
 ./install.sh
-->cn
-->client
 
/usr/local/ossec/bin/manage_agents