入侵檢測系統(tǒng)ossec配置文件詳解

　　在互聯(lián)網(wǎng)時代里面，網(wǎng)絡安全防護很重，那么你知道入侵檢測系統(tǒng)ossec配置文件的知識嗎?下面是學習啦小編整理的一些關于入侵檢測系統(tǒng)ossec配置文件詳解的相關資料，供你參考。

　　入侵檢測系統(tǒng)ossec配置文件詳解：

　　OSSEC是一款開源的多平臺的入侵檢測系統(tǒng)，可以運行于 Windows, Linux, OpenBSD/FreeBSD, 以及 MacOS等操作系統(tǒng)中。包括了日志分析，全面檢測，root-kit檢測。本文由FB會員Rozero帶來的OSSEC系列文章第一篇

　　之前看過@lion_00 關 于ossec的連載，我個人對ossec也小有研究，之前用過很長一段時間，ossec難點主要在于其配置文件復雜，不好配置，另外ossec基本沒有國 內(nèi)的文章也給學習造成了不便，使得ossec知道的人很有限，只有少數(shù)幾家互聯(lián)網(wǎng)公司在使用。趁著周末有空，翻譯了下ossec文檔里的部分比較常用的配 置選項，希望可以給大家一些幫助。

　　在unix，linux或者bsd上安裝ossec hids，默認安裝路徑是/var/ossec，在啟動過程中ossec hids會將目錄chroot，并且配置文件和規(guī)則也從該目錄讀取，下邊科普下，ossec下目錄結構及各個模塊都有啥用：

　　#核心配置文件：

　　ossec.conf #ossec hids主要配置文件

　　internal_options.conf： #額外配置選項文件

　　decoders.xml： #文件解碼器，各種規(guī)則都在這里寫來調(diào)用

　　client.keys： #用于客戶端與服務器認證通信

　　/var/ossec/bin #目錄包含ossec hids使用的二進制文件。

　　/var/ossec/etc #目錄包含所有ossec hids使用的配置文件

　　#日志文件：

　　/var/ossec/logs： #包含有關ossec hids所有的日志目錄

　　ossec.log： #包含osse hids所有日志(error,warn,info和其他)

　　alerts/alerts.log #ossec hids報警日志

　　active-responses.log #ossec hids響應日志

　　#隊列：

　　/var/ossec/queue #目錄包含ossec hids隊列文件

　　agent-info #目錄包含操作系統(tǒng)版本、ossec hids版本等信息

　　syscheck #目錄包含每個agent的數(shù)據(jù)校驗日志

　　rootcheck #目錄包含每個agent，rootkit檢查數(shù)據(jù)和監(jiān)控規(guī)則。

　　rids #目錄包含agent ids信息

　　#規(guī)則

　　/var/log/rules #目錄包含所有osse hids規(guī)則

　　/var/log/stats #目錄包含每秒統(tǒng)計數(shù)據(jù)等文件

　　了解ossec hids配置文件：

　　我們將開始了解如何在unix，linux和bsd上本地/服務器進行配置。ossec hids主要配置文件名叫ossec.conf，該文件使用xml表記語言編寫，ossec hids配置文件選擇位于中，該配置文件包含如下段落：

　　#全局配置配置 #郵件和日志報警選項 #細力度郵件配置文件 #該選項只允許在server端配置 #數(shù)據(jù)庫輸出選項 #包含規(guī)則列表 #agent有關配置文件選項 #日志文件監(jiān)控配置選項 #系統(tǒng)檢查配置文件選項 #rootki發(fā)現(xiàn)和規(guī)則監(jiān)控選項 #主機響應配置選項 #惡意主機響應配置選項

　　配置報警級別及收集所有日志：

　　每個報警都有一個嚴重級別報警等級，ossec的等級是這樣分配的，0到15，15是最高等級，0是最低等級，默認情況下每個警報是從1到15，在 ossec hids配置文件選項中報警級別7以上的都會發(fā)送郵件報警，如果修改ossec.conf中的報警配置選項，可以修改如下配置：

　　2 8

　　上邊的配置文件，只記錄2以上的報警級別日志，并且報警級別高于8以上的報警都會發(fā)送郵件。

　　收集日志：

　　除了記錄每一條報警和每一個事件記錄外你可以配置ossec hids接收所有日志，配置文件如下：

　　yes

　　配置郵件：

　　默認情況下，在安裝ossec hids server的時候會提示你配置郵件發(fā)信，但這個發(fā)信里默認只寫入一條收件人，假如我有多個收件人是不是沒辦法了呢?答案當然不是，ossec hids里可以這樣配置多個收件人，這里以gmail為例子：

　　yes root@gmail.com< email_to > smtp@gmail.com< smtp_server > webmaster@gmail.com 20

　　默認的配置文件是這樣，如添加其他人可以這樣，lost@gmail.com即可添 加lost這個用戶加入收件人列表。如果不需要配置文件怎么辦呢?ossec hids也可以關閉掉郵件選項，設置配置如下：

　　no

　　也可以讓某個郵箱只接受特定級別的郵件，配置文件可以這樣寫：

　　oncall@fakeinc.com 10 sms

　　安全選項配置：

　　眾所周知，ossec收集日志的服務也是采用syslog，只不過它會開啟個1514的udp端口來接收數(shù)據(jù)，這其實和514端口并無差別不是嗎，但為了安全考慮，需要允許指定的機器來連接我們的syslog服務，配置文件可以這樣寫：

　　secure 192.168.10.0/24

　　上邊的意思就是允許這個網(wǎng)段來連接syslog服務接收數(shù)據(jù)。

　　監(jiān)控文件變化：

　　ossec還可以做為文件監(jiān)控來監(jiān)視網(wǎng)站目錄下的變動情況，ossec檢測文件的時候分為幾個部分：check_all、check_sum、 check_size、check_onwer、check_group、check_perm，如果是檢測網(wǎng)站變動的話，可以在ossec.conf里 寫入如下配置：

　　/var/www/htdocs

　　上邊的配置是檢查網(wǎng)站的任何變動，包括文件大小發(fā)生變化，權限變化等。

　　看過文章“入侵檢測系統(tǒng)ossec配置文件詳解”的人還看了：

　　1.對入侵檢測系統(tǒng)進行探究

　　2.怎么防網(wǎng)站攻擊

　　3.計算機網(wǎng)絡系統(tǒng)安全保密技術的介紹

　　4.常用網(wǎng)絡安全技術有哪些(2)

　　5.詳解網(wǎng)絡安全中防火墻和IDS的作用

　　6.教你如何解決無線網(wǎng)絡安全漏洞

　　7.淺談基于計算機網(wǎng)絡安全及防范策略

　　8.淺談計算機網(wǎng)絡信息安全的技術

　　9.計算機網(wǎng)絡信息安全的論文三篇非法入侵者主要通過計算機網(wǎng)絡設...

　　10.企業(yè)網(wǎng)絡安全漏洞分析評估