OSSEC安装

最新推荐文章于 2025-06-09 09:00:40 发布

原创最新推荐文章于 2025-06-09 09:00:40 发布 · 2.4k 阅读

0 ·

CC 4.0 BY-SA版权

文章标签：

#ossec #hids #linux

本文档详细介绍了如何在Linux操作系统上安装和配置OSSEC，一个强大的主机入侵检测系统（HIDS）。从下载源码到安装步骤，再到设置监控和报警，助你提升系统的安全防护能力。

摘要生成于 C知道，由 DeepSeek-R1 满血版支持，前往体验 >

每一次安装都是自己挖坑自己填的过程

------------------------------------------------------------------

一、安装环境

1、 LAMP环境，Centos 7.0系统，安装过程见LAMP安装过程简介，LAMP自行安装，目录在/lamp

2、打上需要的包：

yum install mysql-devel postgresql-devel（如果没有用到后边那个，可以不安装的）

3、下载所需安装包：ossec-hids-2.8.1.tar.gz、ossec-wui-0.8.tar.gz

二、配置mysql

# mysql -u root -p

create database ossec;

create user ossec@localhost identified by 'ossec_123';

grant INSERT,SELECT,UPDATE,CREATE,DELETE,EXECUTE on ossec.* to ossec@localhost;

flush privileges;

quit;

进入src/os-dbd目录执行：

# <.安装路径....>/mysql -u root -p ossec < mysql.schema

三、预编译mysql支持

进入安装包目录：

cd ossec-hids-*

cd src;

make setdb;

---填坑---执行顺利请绕过------------------------------

执行上边的命令会出现： “Error: MySQL client libraries not installed.”

这是自己自定义MySql安装路径时挖的坑，ossec找不到了mysql包，解决方法如下：

深入安装包，打开：src/os_dbd目录

vi dbmake.sh

编辑代码：

找到这一段...黑体字就是需要按照自己的情况修改添加的

# Checking on a few dirs if mysql_config is not there.

for i in /usr/bin /lamp/mysql $1

......

for j in $i/include/mysql/mysql.h......此句不用改

......

for j in $i/lib/mysql $i/lib64/mysql $i/lib

......

保存退出，重新make

还没有想到更好的解决方案

----填坑完毕---继续------------------------------

cd ../

三、安装server

直接./install.sh

1、选择语言，我选了en

2、press enter

3、选择server

4、我又自定义目录了 /lamp/ossec/server

5、是否e-mail提醒，我选y，然后填个邮箱：xxxx@126.com

6、是否要完整性检查功能：y

7、rootkit功能？y

8、之后的一路默认，remote log功能还不太理解，先yes了

完成安装，使用

<..安装目录....>/bin/ossec-control start/stop 启动/停止

.. ./manage_agents 管理客户端

四、配置

1、修改配置文件权限。chmod 640 ossec_config

打开/lamp/ossec/etc/ossec_config

加入如下东西：

<ossec_config>

<database_output>

<username>ossecuser</username>

<password>ossecpass</password>

<database>ossec</database>

<type>mysql</type>

</database_output>

</ossec_config>

2、打开防火墙

执行： firewall-cmd --zone=public --add-port=1514/udp

还有个remotelog的端口是多少来着忘了....

五、在本机添加个agent（仅作测试用，好像server有自检功能）

1、再次进入安装目录

2、./install.sh

3、选en

4、选no

5、选agent

6、安装地址：/lamp/ossec/agent

7、服务器地址：127.0.0.1

8、剩下的默认

六、将agent添加到server中

1、/lamp/ossec/server/bin/manage_agents

2、添加一个agent，选a，照着指示填就行

3、为agent分配密钥

选择e

输入001

-------蛋疼的事出来了，控制台界面，密钥怎么复制，吐槽一下，求帮助，反正我是一个一个抄下来了-------

4、/lamp/ossec/agent/bin/manage_agents

5、只有一个选项

七、运行

/lamp/ossec/server/bin/ossec-control enable database

/lamp/ossec/server/bin/ossec-control start

/lamp/ossec/agent/bin/ossec-control start

八、添加Web支持

1、解压

2、mv ossec-wui* /lamp/web/ossec

3、cd /lamp/web/ossec

-----此处要填坑-----------------------------------

将apache的/bin目录要加到path里面

export PATH=$PATH:/lamp/httpd/bin

----------------------------------------------------

4、按照步骤操作，看到成功即可

5、修改web目录权限，我改成了744

6、修改ossec_conf.php，里面需要设置ossec的安装位置

九、填坑补充

1、出现如下警告：

Warning: date(): It is not safe to rely on the system's timezone settings. You are *required* to use the date.timezone setting or the date_default_timezone_set() function. In case you used any of those methods and you are still getting this warning, you most likely misspelled the timezone identifier. We selected the timezone 'UTC' for now, but please set date.timezone to select your timezone.

在php.ini里修改

date.timezone = UTC

在apache httpd,conf文件中

加入PHPIniDir "/lamp/php"

十、配置完成

参考资料：

http://drops.wooyun.org/tips/636 感谢他提供的安装思路

http://ossec-docs.readthedocs.org/en/latest/index.html 这是官方的