现有运行机器上的OSSEC

Question

我正在现有的运行机器上设置一个OSSEC。根据我的研究，我发现我应该运行下面的命令来检查以前的入侵情况。

zcat /var/log/*.gz | /var/ossec/bin/ossec-logtest

其次，它将自动运行syscheck，并将checksum存储在/var/ossec/queue/syscheck/中。为了开始使用OSSEC，还有什么需要配置的吗？

Answer 1

如果系统受到破坏，则不能信任从该机器生成的OSSEC日志或任何其他日志。通过测井分析，OSSEC可以很好地检测新的侵入体。您给出的命令用于检测哪个OSSEC规则将与给定的日志匹配。因此，您正在将所有日志文件传输到ossec-logtest实用程序，并确定某些内容是否匹配，然后假设系统已经被破坏。然而，攻击的第一步是清除所有日志条目，以掩盖他的踪迹。这就是为什么OSSEC不愿在那里提供帮助的原因。

针对您需要的步骤，决定要监视哪些日志文件，并在ossec.conf (或agent.conf)文件中添加日志文件条目。如果您希望监视某些文件/目录以进行更改，您也可以这样做。如果您有一些自定义日志文件没有被OSSEC立即解析(您可以通过ossec-logtest检查它)，那么在local_decoder.xml中编写自定义解码器。不要将您的解码器放在decoder.xml文件中，因为如果您更新代理，它将丢失。

最后一步，如果您有集中日志服务器，那么配置OSSEC管理器，通过在管理器端指定ossec.conf中的IP地址，将所有警报转发到中央日志服务器。

编辑:网站安全，有一些非常好的帖子托尼帕雷斯：

网站安全OSSEC --第一部分

OSSEC -检测新文件-了解其工作原理

Answer 2

关于OSSEC最新版本的完整文档如下：

http://ossec-docs.readthedocs.org/en/latest/index.html

文档有点轻描淡写，我发现我不得不做大量的尝试和错误，才能使它完全符合我的要求。我的建议(尤其是如果您是刚接触过该软件的话)应该在这里下载服务器虚拟设备：

http://www.ossec.net/?page_id=19

这可以相对容易地直接导入VirtualBox和其他VM管理器中。这将为您提供一个运行中的基于CentOS的图形用户界面，并为您安装了OSSEC。如果您对您的配置有疑问，可以在堆栈交换中准确地指定您想要做的事情，或者在“支持链接”下查看该页面上指定的邮件列表。