OSSEC安全监控环境搭建(docker+yum)安装
2018-09-05 17:18
1036 查看
一、搭建环境
参看文章:ossec官方安装文档
全网最详细的最新稳定OSSEC搭建部署(ossec-server(CentOS7.X)和ossec-agent(CentOS7.X))(图文详解)
系统:Centos7
计算机 | IP |
---|---|
ossec-server | 172.16.30.23 |
ossec-agent | 172.16.30.24 |
ossec3.0
mariadb5.5.6
安装方式:
ossec-server: 服务端使用docker安装
ossec-agent:客户端使用yum安装
数据库:安装在ossec-server服务端
二、搭建流程
1、安装前环境准备(服务器和客户端都需要操作)
关闭selinux
setenforce 0 sed -i 's#enforcing#disabled#g' /etc/selinux/config
关闭防火墙
systemctl stop firewalld.service systemctl disable firewalld.service
2、数据库安装和ossec数据库配置
在ossec服务端安装数据库
使用yum安装mariadb
yum install -y mariadb-server mariadb mariadb-devel systemctl start mariadb systemctl enable mariadb
初始化mariadb
mysql_secure_installation #设置root,密码root(自行修改)
创建ossec的数据库及授权
mysql -uroot -proot create database ossec; grant all on ossec.* to ossec@localhost; #授权 set password for ossec@localhost=password('ossec'); #给ossec帐号创建密码 flush privileges; exit
添加ossec数据库表结构
下载ossec二进制文件,主要使用其中mysql.schema文件,ossec-hids-3.0.0.tar.gz的下载地址:ossec官网下载地址:https://github.com/ossec/ossec-hids/archive/3.0.0.tar.gz
ossec-hids-3.0.0.tar.gz百度云下载地址:链接:https://pan.baidu.com/s/1gG1DbgQhfOPbE8ISej0yHA 密码:38r8
下载ossec-hids-3.0.0.tar.gz后进行操作:
cd /usr/local/src tar zxf ossec-hids-3.0.0.tar.gz cd ossec-hids-3.0.0 mysql -uossec -p ossec < ./src/os_dbd/mysql.schema
ossec表结构添加完成
3、ossec-server服务端安装
使用docker安装ossec服务端
参考:Centos7系统下Docker ce的安装及镜像加速docker安装完成后,使用以下命令安装ossec-sever的安装:
docker run --name ossec-server -d -p 1514:1514/udp -p 1515:1515\ -e SYSLOG_FORWADING_ENABLED=true -e SYSLOG_FORWARDING_SERVER_IP=172.16.30.23\ -v /var/ossec/data:/var/ossec/data xetusoss/ossec-server
docker命令解释:
--name:该docker容器命名为ossec-server -d:后台运行 -p 1514:1514/udp -p 1515:1515 : 映射宿主机和docker容器端口号 -e SYSLOG_FORWADING_ENABLED=true -e SYSLOG_FORWARDING_SERVER_IP=172.16.30.23 : -v /var/ossec/data:/var/ossec/data : 挂载容器路径 xetusoss/ossec-server : 使用镜像仓库地址
docker容器启动成功后,进入ossec-sever容器操作:
dokcer ps # 进入docker容器的命令 docker exec -it ossec-server bash
在docker容器对ossec-server服务端进行配置操作:
# 添加ossec对数据库的支持 /var/ossec/bin/ossec-control enable database # 给ossec.conf文件授权 chmod u+w /var/ossec/etc/ossec.conf # 编辑ossec.conf文件 vi /var/ossec/data/etc/ossec.conf ## 在ossec.conf添加MySQL配置: <database_output> <hostname>172.16.30.23</hostname> <username>ossec</username> <password>ossec</password> <database>ossec</database> <type>mysql</type> </database_output> ## 在ossec.conf添加ip网段配置 <remote> <connection>syslog</connection> <allowed-ips>172.16.0.0/16</allowed-ips> </remote> ## 添加邮件信息 <global> <email_notification>no</email_notification> <email_to>ser365@qq.com</email_to> <smtp_server>smtp.your_domain.com.</smtp_server> <email_from>ossecm@ossec.your_domain.com.</email_from> </global>
在服务端添加代理端主机:
# 在ossec-server的docker环境里 /var/ossec/bin/manage_agents # 在出现的选择中选A,添加agent,分别给填写: ossec-agent #自己取的名字 172.16.30.22 #agent服务器的IP 022 #自己规定的ID
在服务端获取代理端的KEY:
# 在ossec-server的docker环境里 /var/ossec/bin/manage_agents` # 在出现的选择中选E,在随后的提示里输入ID号:022, 就能得到ID为022的agent主机的KEY
启动ossec服务端
# 在ossec-server的docker环境里 /var/ossec/bin/ossec-control start
4、ossec-agent客户端安装
使用yum安装ossec-agent
ossec-agent是使用yum安装,在要监控的agent服务器中操作:wget -q -O - https://updates.atomicorp.com/installers/atomic |sh yum install ossec-hids ossec-hids-client
配置ossec-agent配置文件
配置ossec-agent的配置文件,我们需要删除ossec-agent.conf的配置信息,因为这与ossec-server服务器上的配置重复了,不处理会在启动出现报错。vim /var/ossec/etc/ossec-agent.conf # 将ossec-agent.conf文件里的内容删减到只剩: <!-- OSSEC example config --> <ossec_config> <client> <server-ip>172.16.30.23</server-ip> </client> </ossec_config>
在agent添加KEY:
/var/ossec/bin/manage_agents # 输入I,将ID022的agent机器的KEY加入
启动ossec-agent客户端:
/var/ossec/bin/ossec-control start
三、ossec的server和agent连接查看
查看ossec连接情况
在ossec服务端,查看agent的连接情况# 在ossec-server的docker环境里 /var/ossec/bin/agent_control -l # OSSEC HIDS agent_control. List of available agents: ID: 000, Name: cacee8d64533 (server), IP: 127.0.0.1, Active/Local ID: 001, Name: DEFAULT_LOCAL_AGENT, IP: 127.0.0.1, Never connected ID: 022, Name: ossec-agent22, IP: 172.16.30.22, Active # 显示ID:022的活动状态为Active,即为连接成功在活动中
相关文章推荐
- WIN7上搭建Windows Phone 8 开发环境——VMware Workstation下Win8 “无法安装Hyper-V, 某个虚拟机监控程序正在运行”问题解决的办法
- 企业安全监控zabbix安装部署方案—yum安装
- MAC上搭建Windows Phone 8 开发环境——VMware Fusion下Win8 “无法安装Hyper-V, 某个虚拟机监控程序正在运行”问题解决的办法
- Lamp 环境搭建(yum 安装)
- Docker for Windows安装与Linux+PHP开发环境搭建(一)
- centos下yum搭建安装linux+apache+mysql+php环境的方法
- 服务器开发环境搭建 -- yum 安装 jdk
- 使用docker搭建安装zabbix3.2监控平台(一)
- Docker-compose搭建ELK+head+redis环境(2)-- head插件安装
- Zabbix-2.0.6+CentOS 搭建安装系统环境实现网络状况监控(绝对OK)
- 生产环境下:LAMP源码安装,搭建zabbix监控
- MAC上搭建Windows Phone 8 开发环境——VMware Fusion下Win8 “无法安装Hyper-V, 某个虚拟机监控程序正在运行”问题解决的办法
- docker私有仓库和监控及报警环境搭建
- 生产环境 hadoop集群监控工具--ganglia的搭建(YUM的方式)
- CentOS---lnmp环境搭建---yum傻瓜式安装
- 搭建CentOS7.x环境(nginx+mariaDB+php7) YUM安装方式
- 【jeecg Docker安装】使用 Docker 搭建 Java Web 运行环境
- mac 下使用Docker安装搭建tensorflow环境
- rpm 和 yum 搭建php环境--linux安装(四)
- centOs7下安装docker并搭建运行java项目环境