开源入侵检测系统OSSEC搭建之二：客户端安装

上一篇文章中已经将OSSEC服务端的安装以及客户端的Key导出操作做了解说，接下来在另一台虚拟机中安装客户端，与安装服务端类似同样需要安装ossec，步骤如下。

一、下载ossec-hids-2.8.3.tar.gz并解压

root@kali2:~# wget https://bintray.com/artifact/download/ossec/ossec-hids/ossec-hids-2.8.3.tar.gz
root@kali2:~# tar zxf ossec-hids-2.8.3.tar.gz
root@kali2:~# cd ossec-hids-2.8.3/

二、安装客户端

root@kali2:~/ossec-hids-2.8.3# ./install.sh 

  ** Para instala??o em português, escolha [br].
  ** 要使用中文进行安装, 请选择 [cn].
  ** Fur eine deutsche Installation wohlen Sie [de].
  ** Για εγκατ?σταση στα Ελληνικ?, επιλ?ξτε [el].
  ** For installation in English, choose [en].
  ** Para instalar en Espa?ol , eliga [es].
  ** Pour une installation en fran?ais, choisissez [fr]
  ** A Magyar nyelv? telepítéshez válassza [hu].
  ** Per l'installazione in Italiano, scegli [it].
  ** 日本語でインストールします．選択して下さい．[jp].
  ** Voor installatie in het Nederlands, kies [nl].
  ** Aby instalowa? w j?zyku Polskim, wybierz [pl].
  ** Для инструкций по установке на русском ,введите [ru].
  ** Za instalaciju na srpskom, izaberi [sr].
  ** Türk?e kurulum i?in se?in [tr].
  (en/br/cn/de/el/es/fr/hu/it/jp/nl/pl/ru/sr/tr) [en]: cn
 OSSEC HIDS v2.8.3 安装脚本 - http://www.ossec.net
 
 您将开始 OSSEC HIDS 的安装.
 请确认在您的机器上已经正确安装了 C 编译器.
 如果您有任何疑问或建议,请给 dcid@ossec.net (或 daniel.cid@gmail.com) 发邮件.
 
  - 系统类型: Linux kali2 4.0.0-kali1-686-pae
  - 用户: root
  - 主机: kali2


  -- 按 ENTER 继续或 Ctrl-C 退出. --


1- 您希望哪一种安装 (server, agent, local or help)? agent

  - 选择了 Agent(client) 类型的安装.

2- 正在初始化安装环境.

 - 请选择 OSSEC HIDS 的安装路径 [/var/ossec]: /opt/ossec

    - OSSEC HIDS 将安装在  /opt/ossec .

3- 正在配置 OSSEC HIDS.

  3.1- 请输入 OSSEC HIDS 服务器的IP地址或主机名: 192.168.218.136

   - 添加服务器IP  192.168.218.136

  3.2- 您希望运行系统完整性检测模块吗? (y/n) [y]: 

   - 系统完整性检测模块将被部署.

  3.3- 您希望运行 rootkit检测吗? (y/n) [y]: 

   - rootkit检测将被部署.

  3.4 - 您希望开启联动(active response)功能吗? (y/n) [y]: 


  3.5- 设置配置文件以分析一下日志:
    -- /var/log/messages
    -- /var/log/auth.log
    -- /var/log/syslog
    -- /var/log/dpkg.log
    -- /var/log/apache2/error.log (apache log)
    -- /var/log/apache2/access.log (apache log)

                            
 -如果你希望监控其他文件, 只需要在配置文件ossec.conf中
  添加新的一项. 
  任何关于配置的疑问您都可以在 http://www.ossec.net 找到答案.


  --- 按 ENTER 以继续 ---

具体的安装过成略，当看到以下提示时说明客户端安装成功。

 - 系统类型是  Debian (Ubuntu or derivative).
 - 修改启动脚本使 OSSEC HIDS 在系统启动时自动运行 

 - 已正确完成系统配置.

 - 要启动 OSSEC HIDS:
        /opt/ossec/bin/ossec-control start

 - 要停止 OSSEC HIDS:
        /opt/ossec/bin/ossec-control stop

 - 要查看或修改系统配置,请编辑  /opt/ossec/etc/ossec.conf



    感谢使用 OSSEC HIDS.
    如果您有任何疑问,建议或您找到任何bug,
    请通过　contact@ossec.net 或邮件列表 ossec-list@ossec.net 联系我们.    
    ( http://www.ossec.net/en/mailing_lists.html ).

    您可以在　http://www.ossec.net 获得更多信息

    --- 请按　ENTER 结束安装 (下面可能有更多信息). ---

三、配置客户端

配置ossec客户端就是把刚才由服务端生成的key，在客户端中导入

root@kali2:~/ossec-hids-2.8.3# /opt/ossec/bin/manage_agents


****************************************
* OSSEC HIDS v2.8.3 Agent manager.     *
* The following options are available: *
****************************************
   (I)mport key from the server (I).
   (Q)uit.
Choose your action: I or Q: I

* Provide the Key generated by the server.
* The best approach is to cut and paste it.
*** OBS: Do not include spaces or new lines.

Paste it here (or 'q' to quit): MDAxIGFnZW50LWthbGkgMTkyLjE2OC4yMTguMTM3IDQ0NTg0MTQ5ZjMzODc2YzA4MDA0MTdlY2JkYWQ5ODc1NDRhZjc1ZmEyYWY0ZmFkMzU4OTBmMDYxMjE0ODA2ZTE=

Agent information:
   ID:001
   Name:agent-kali
   IP Address:192.168.218.137

Confirm adding it?(y/n): Y
Added.
** Press ENTER to return to the main menu.

启动客户端

root@kali2:~/ossec-hids-2.8.3# /opt/ossec/bin/ossec-control start

至此，客户端已经安装完成且已导入从服务端哪里获得的Key值，接下来的工作就是要装一个

第三方的日志报警显示界面，推荐展示平台为analogi，具体的安装方法请参考文章开源入侵检测系统OSSEC搭建之三：Web界面安装