CentOS 7上安装OSSEC开源入侵检测系统

OSSEC（Open Source HIDS SECurity）是一种基于主机的开源入侵检测系统（HIDS）。 它执行日志分析，完整性扫描，rootkit检测，基于时间的警报以及对触发器的主动响应。 你可以在Linux，Windows和Mac上安装它。 它允许本地安装以及可以使用集中式日志记录系统部署到多个系统的代理。 它能够扫描日志，文件严重监控和基于操作的威胁响应。 本指南介绍了如何在CentOS上执行基本安装。 要查看他们的官方文档和站点，您可以访问github项目。 本指南适用于本地版本的安装，但是，它可以部署到数千台服务器，代理程序向集中式服务器报告。

准备安装Ossec

安装所需的软件包：

yum install -y gcc inotify-tools bind-utils

切换到源目录以下载ossec：

cd /usr/src

获取最新版本

wget -O ossec.2.9.3.tar.gz https://github.com/ossec/ossec-hids/archive/2.9.3.tar.gz

解压缩tar文件

tar xfvz  ossec.2.9.3.tar.gz

更改目录：

cd ossec-hids-2.9.3/

Ossec安装

启动安装程序：

[root@localhost ossec-hids-2.9.3]# ./install.sh

** Para instalação em português, escolha [br].
  ** 要使用中文进行安装, 请选择 [cn].
  ** Fur eine deutsche Installation wohlen Sie [de].
  ** Για εγκατάσταση στα Ελληνικά, επιλέξτε [el].
  ** For installation in English, choose [en].
  ** Para instalar en Español , eliga [es].
  ** Pour une installation en français, choisissez [fr]
  ** A Magyar nyelvű telepítéshez válassza [hu].
  ** Per l'installazione in Italiano, scegli [it].
  ** 日本語でインストールします．選択して下さい．[jp].
  ** Voor installatie in het Nederlands, kies [nl].
  ** Aby instalować w języku Polskim, wybierz [pl].
  ** Для инструкций по установке на русском ,введите [ru].
  ** Za instalaciju na srpskom, izaberi [sr].
  ** Türkçe kurulum için seçin [tr].
  (en/br/cn/de/el/es/fr/hu/it/jp/nl/pl/ru/sr/tr) [en]:cn

OSSEC HIDS v2.9.3 安装脚本 -

您将开始 OSSEC HIDS 的安装.
 请确认在您的机器上已经正确安装了 C 编译器.

- 系统类型: Linux localhost.localdomain 3.10.0-862.14.4.el7.x86_64
  - 用户: root
  - 主机: localhost.localdomain
  -- 按 ENTER 继续或 Ctrl-C 退出. --

回车开始安装

安装程序启动后，它将引导您完成安装OSSEC的一系列选项。 除非您计划在不同服务器上运行代理和服务器，否则请选择本地安装

1- 您希望哪一种安装 (server, agent, local or help)? local

- 选择了 Local 类型的安装.

您可以选择默认安装路径或选择其他路径。

2- 正在初始化安装环境.

- 请选择 OSSEC HIDS 的安装路径 [/var/ossec]:

确定OSSEC安装是否应发送电子邮件通知

3- 正在配置 OSSEC HIDS.

3.1- 您希望收到e-mail告警吗? (y/n) [y]: y
  - 请输入您的 e-mail 地址? root@linuxidc.net

- 我们找到您的 SMTP 服务器为: mxdomain.linuxidc.com.
  - 您希望使用它吗? (y/n) [y]: y

--- 使用 SMTP 服务器:  mxdomain.linuxidc.com.

3.2- 您希望运行系统完整性检测模块吗? (y/n) [y]: y

- 系统完整性检测模块将被部署.

3.3- 您希望运行 rootkit检测吗? (y/n) [y]: y

- rootkit检测将被部署.
     
  3.4- 关联响应允许您在分析已接收事件的基础上执行一个
      已定义的命令.
      例如,你可以阻止某个IP地址的访问或禁止某个用户的访问权限.
      更多的信息,您可以访问:
      #active-response
  - 您希望开启联动(active response)功能吗? (y/n) [y]: y

    - 关联响应已开启