- A+
所属分类:网络安全
OSSEC是一款开源的多平台的入侵检测系统,可以运行于Windows, Linux, OpenBSD/FreeBSD, 以及 MacOS等操作系统中。包括了日志分析,全面检测,root-kit检测。
在审计报警日志时,物理地址相对ip地址更能给予我们很直观的判断,而OSSEC默认只显示IP地址,但是通过编译配置,可使ossec显示ip对应地址,具体操作如下:
先下载MaxmindGeoIP 的API,使用C语言版(因为ossec是c语言开发的)。
wget http://www.maxmind.com/download/geoip/api/c/GeoIP-1.4.8.tar.gz tar xzvf GeoIP-1.4.8.tar.gz cd GeoIP-1.4.8 ./configure make su make install
若安装时,so文件未放入lib里面,需要手动配置链接,我是64bit系统所以执行:
ln -s /usr/local/lib/libGeoIP.so /lib64/libGeoIP.so.1
下载GeIP 数据库,并拷贝至OSSEC安装目录。
切记!!dat文件必须放在ossec安装目录的ETC下,别问为什么,OSSEC代码写死了。
wget http://geolite.maxmind.com/download/geoip/database/GeoLiteCity.dat.gz gzip -d GeoLiteCity.dat.gz wget http://geolite.maxmind.com/download/geoip/database/GeoLiteCityv6-beta/GeoLiteCityv6.dat.gz gzip -d GeoLiteCityv6.dat.gz su cp GeoLiteCity*.dat /var/ossec/etc/
以上为代码编译环境配置,现在需源码编译配置:
下载ossec源码,在make时,选择geoip选项,编译安装。
cd src; makesetgeoip; cd ..;su;./install.sh
配置/ossecpath/etc/ossec.conf文件,使系统支持GeoIP。
<ossec_config> <global> <!—配置 GeoIP 数据库地址--> <geoip_db_path>/etc/GeoLiteCity.dat</geoip_db_path> <geoip6_db_path>/etc/GeoLiteCityv6.dat</geoip6_db_path> </global> <!--开启报警显示IP对应地址--> <alerts> <!-- to add GeoIP info in alerts --> <use_geoip>yes</use_geoip> </alerts> </ossec_config>
配置etc/internal_options.conf文件,开启邮件显示IP对应地址。
------ update etc/internal_options.conf # Maild display GeoIP data (0=disabled,1=enabled) maild.geoip=1
重启OSSEC即可。
Email效果图如下
alert效果如下:
求有志青年共创安全美好的未来,
- 我的微信
- 这是我的微信扫一扫
-
- 我的微信公众号
- 我的微信公众号扫一扫
-
