(1) 服务器上添加客户端
在服务器上添加客户端,执行如下命令,按照提示进行输入,红色部分是我们输入的: [root@ossec-server logs]# /var/ossec/bin/manage_agents **************************************** * OSSEC HIDS v2.7 Agent manager. * * The following options are available: * **************************************** (A)dd an agent (A). (E)xtract key for an agent (E). (L)ist already added agents (L). (R)emove an agent (R). (Q)uit. Choose your action: A,E,L,R or Q: A •Adding a new agent (use 'q' to return to the main menu). Please provide the following: ◦A name for the new agent: ossec-agent ◦The IP Address of the new agent: 192.168.100.104 ◦An ID for the new agent[001]: Agent information: ID:001 Name:ossec-agent IP Address:192.168.100.104 Confirm adding it?(y/n): y Agent added. 然后程序会重新进入到第一次的界面,如下,我们导出刚才添加的那个agent的key,用于后面的客户端连接到服务端: **************************************** * OSSEC HIDS v2.7 Agent manager. * * The following options are available: * **************************************** (A)dd an agent (A). (E)xtract key for an agent (E). (L)ist already added agents (L). (R)emove an agent (R). (Q)uit. Choose your action: A,E,L,R or Q: E Available agents: ID: 001, Name: ossec-agent, IP: 192.168.100.104 Provide the ID of the agent to extract the key (or 'q' to quit): 001 Agent key information for '001' is: MDAxIG9zc2VjLWFnZW50IDE5Mi4xNjguMTAwLjEwNCAzZWJmZWMzZmRlYzE2ODgzZmEyMzc0NWI5MWMyZDlmNmIyNDViZDMxNjBkZGRiM2FlMTk4NDA3ODNiNDFhYzYz ** Press ENTER to return to the main menu.
(2) 安装OSSEC客户端
由于我们本身客户端也是Linux服务器,而ossec的服务端和客户端是同一个安装包,所以在客户端上下载安装包,并且解压安装,如下。 [root@ossec-server ~]# wget http://www.ossec.net/files/ossec-hids-2.7.tar.gz [root@ossec-server ~]# tar zxf ossec-hids-2.7.tar.gz [root@ossec-server ~]# cd ossec-hids-2.7 [root@ossec-server ~]# ./install.sh ** Para instalação em português, escolha [br]. ** 要使用中文进行安装, 请选择 [cn]. ** Fur eine deutsche Installation wohlen Sie [de]. ** Για εγκατάσταση στα Ελληνικά, επιλέξτε [el]. ** For installation in English, choose [en]. ** Para instalar en Español , eliga [es]. ** Pour une installation en français, choisissez [fr] ** A Magyar nyelvű telepítéshez válassza [hu]. ** Per l'installazione in Italiano, scegli [it]. ** 日本語でインストールします.選択して下さい.[jp]. ** Voor installatie in het Nederlands, kies [nl]. ** Aby instalować w języku Polskim, wybierz [pl][/pl]. ** Для инструкций по установке на русском ,введите [ru]. ** Za instalaciju na srpskom, izaberi [sr]. ** Türkçe kurulum için seçin [tr]. (en/br/cn/de/el/es/fr/hu/it/jp/nl/pl/ru/sr/tr) [en]: cn OSSEC HIDS v2.7 安装脚本 - http://www.ossec.net 您将开始 OSSEC HIDS 的安装. 请确认在您的机器上已经正确安装了 C 编译器. 如果您有任何疑问或建议,请给 dcid@ossec.net (或 daniel.cid@gmail.com) 发邮件. •系统类型: Linux ossec-agent 2.6.18-164.el5 •用户: root •主机: ossec-agent -- 按 ENTER 继续或 Ctrl-C 退出. -- 1- 您希望哪一种安装 (server, agent, local or help)? agent •选择了 Agent(client) 类型的安装. 2- 正在初始化安装环境. •请选择 OSSEC HIDS 的安装路径 [/var/ossec]: /opt/ossec ◦OSSEC HIDS 将安装在 /opt/ossec . 3- 正在配置 OSSEC HIDS. 3.1- 请输入 OSSEC HIDS 服务器的IP地址或主机名: 192.168.***.*** •添加服务器IP 192.168.***.*** 3.2- 您希望运行系统完整性检测模块吗? (y/n) [y]: •系统完整性检测模块将被部署. 3.3- 您希望运行 rootkit检测吗? (y/n) [y]: •rootkit检测将被部署. 3.4 - 您希望开启联动(active response)功能吗? (y/n) [y]: 3.5- 设置配置文件以分析一下日志: -- /var/log/messages -- /var/log/secure -- /var/log/xferlog -- /var/log/maillog -- /var/log/httpd/error_log (apache log) -- /var/log/httpd/access_log (apache log) -如果你希望监控其他文件, 只需要在配置文件ossec.conf中 添加新的一项. 任何关于配置的疑问您都可以在 http://www.ossec.net 找到答案. --- 按 ENTER 以继续 --- 5- 正在安装系统 - 正在运行Makefile INFO: Little endian set. …………省略编译输出………… •系统类型是 Redhat Linux. •修改启动脚本使 OSSEC HIDS 在系统启动时自动运行 •已正确完成系统配置. •要启动 OSSEC HIDS: /opt/ossec/bin/ossec-control start •要停止 OSSEC HIDS: /opt/ossec/bin/ossec-control stop •要查看或修改系统配置,请编辑 /opt/ossec/etc/ossec.conf 感谢使用 OSSEC HIDS. 如果您有任何疑问,建议或您找到任何bug, 请通过 contact@ossec.net 或邮件列表 ossec-list@ossec.net 联系我们. ( http://www.ossec.net/en/mailing_lists.html ). 您可以在 http://www.ossec.net 获得更多信息 --- 请按 ENTER 结束安装 (下面可能有更多信息). --- •您必须首先将该代理添加到服务器端以使他们能够相互通信. 这样做了以后,您可以运行'manage_agents'工具导入 服务器端产生的认证密匙. /opt/ossec/bin/manage_agents 详细信息请参考: http://www.ossec.net/en/manual.html#ma
(3) 配置OSSEC客户端
其实配置ossec客户端就是把刚才由服务端生成的key,在客户端中导入,执行如下命令 [root@ossec-agent ossec-hids-2.7]# /opt/ossec/bin/manage_agents
**************************************** * OSSEC HIDS v2.7 Agent manager. * * The following options are available: * **************************************** (I)mport key from the server (I). (Q)uit. Choose your action: I or Q: I •Provide the Key generated by the server. •The best approach is to cut and paste it. *** OBS: Do not include spaces or new lines. Paste it here (or 'q' to quit): MDAxIG9zc2VjLWFnZW50IDE5Mi4xNjguMTAwLjEwNCAzZWJmZWMzZmRlYzE2ODgzZmEyMzc0NWI5MWMyZDlmNmIyNDViZDMxNjBkZGRiM2FlMTk4NDA3ODNiNDFhYzYz Agent information: ID:001 Name:ossec-agent IP Address:192.168.100.104 Confirm adding it?(y/n): y Added. ** Press ENTER to return to the main menu. 最后启动客户端 [root@ossec-agent ossec-hids-2.7]# /opt/ossec/bin/ossec-control start 或者执行 [root@ossec-agent ossec-hids-2.7]# /etc/init.d/ossec start
ps:两点注意事项
1. 目前客户端的最新版本是ossec-hids-2.8.3.tar.gz,如果你的某台客户端以前装过老版本的话
可以直接安装2.8.3的安装包的,程序会提示你 要不要升级,选择升级后按着向导一步一步点下去就即可。
2. 如果要监控的客户端环境是64位的windows,但是官网上给出的貌似只有32位的安装包,可以直接安装,不影响使用。
