介绍
如何跟踪服务器上的授权和未授权活动?
OSSEC是一个工具,您可以安装在您的服务器上以跟踪其活动。
OSSEC是一个开源的基于主机的入侵检测系统(HIDS),可以执行日志分析,完整性检查,Windows注册表监控,rootkit检测,基于时间的警报和主动响应。 它可用于在服务器/代理模式下监视一个服务器或数千个服务器。
如果配置正确,OSSEC可以实时查看服务器上发生的情况。
本教程将向您展示如何安装和配置OSSEC以监控一台运行Ubuntu 14.04 LTS的DigitalOcean服务器。 我们将配置OSSEC,以便如果文件被修改,删除或添加到服务器,OSSEC将通过电子邮件实时通知您。 这是除了OSSEC提供的其他完整性检查功能之外。
OSSEC可以做的不仅仅是通知您文件修改,但是一篇文章不足以告诉您如何利用其所有功能。
** OSSEC的好处是什么?
在我们进入安装和配置部分之前,让我们来看看使用OSSEC获得的几个具体的好处。
下面是从OSSEC的电子邮件通知,表示该文件/var/ossec/etc/ossec.conf被修改的一个例子。
OSSEC HIDS Notification.
2014 Nov 29 09:45:15
Received From: kuruji->syscheck
Rule: 552 fired (level 7) -> "Integrity checksum changed again (3rd time)."
Portion of the log(s):
Integrity checksum changed for: '/var/ossec/etc/ossec.conf'
Size changed from '7521' to '7752'
如果您收到此类警报,并且您不希望该文件更改,那么您知道您的服务器上发生了未授权的情况。
下面是OSSEC另一个例子电子邮件警报,显示出该文件/etc/ossec/testossec.txt已被删除。
OSSEC HIDS Notification.
2014 Nov 29 10:56:14
Received From: kuruji->syscheck
Rule: 553 fired (level 7) -> "File deleted. Unable to retrieve checksum."
Portion of the log(s):
File /etc/ossec/testossec.txt was deleted. Unable to retrieve checksum.
同样,如果您没有删除有问题的文件,您应该弄清楚您的服务器上发生了什么。
现在,如果前面的话给你足够的想要安装OSSEC,这里有一些你需要做的事情。
先决条件
当然,您需要有一个要监视的服务器。 本教程假设您已经有一个,并且已经设置好使用。 它可以是您刚刚设置的服务器,或者您已经使用了几个月。 最重要的是,您可以访问它,并可以通过SSH登录。 当你还不知道如何ssh进入你的服务器时,设置OSSEC不是你想要的。
- Ubuntu 14.04服务器
- 您应该创建一个sudo的服务器上的用户。 在本实施例中,用户被命名为sammy 。 但是,本教程会更容易完成root用户:
sudo su
- 可选:如果你想从一个本地的SMTP服务器发送邮件,你应该安装Postfix的简单的电子邮件发送
- OSSEC的安装涉及到一些编译,所以你需要
gcc和make安装。 您可以通过安装一个软件包安装都呼吁build-essential - 你还需要安装一个软件包名为
inotify-tools,这是需要实时报警工作
要安装所有必需的软件包,请首先更新服务器:
apt-get update
安装软件包:
apt-get install build-essential inotify-tools
现在我们已经整理好了预备,让我们进入有趣的部分。
第1步 - 下载并验证OSSEC
在此步骤中,您将下载OSSEC压缩包和包含其加密校验和的文件。
由于这是一个安全文章,我们将做一些额外的工作,以验证我们正在安装有效的软件。 这个想法是,您生成下载的OSSEC压缩包的MD5和SHA1校验和,并将它们与校验和文件中的那些比较。 如果它们匹配,那么你可以假设tarball没有被篡改。
在撰写本文时,OSSEC的最新服务器版本是2.8.1版本。 要下载它,请键入:
wget -U ossec http://www.ossec.net/files/ossec-hids-2.8.1.tar.gz
要下载校验和文件,请键入:
wget -U ossec http://www.ossec.net/files/ossec-hids-2.8.1-checksum.txt
要验证这两个文件是否就位,请键入:
ls -l ossec*
您应该看到的文件:
ossec-hids-2.8.1-checksum.txt
ossec-hids-2.8.1.tar.gz
现在,让我们来看看使用cat命令,像这样的校验文件:
cat ossec-hids-2.8.1-checksum.txt
预期输出:
MD5(ossec-hids-2.8.1.tar.gz)= c2ffd25180f760e366ab16eeb82ae382
SHA1(ossec-hids-2.8.1.tar.gz)= 0ecf1df09558dc8bb4b6f65e1fb2ca7a7df9817c
在上面的输出中,重要的部分是那些等号右边。 这些是tarball的MD5和SHA1校验和。
现在我们将确保我们为tarball生成的校验和匹配我们下载的校验和。
要生成tarball的MD5sum,请键入:
md5sum ossec-hids-2.8.1.tar.gz
预期输出:
c2ffd25180f760e366ab16eeb82ae382 ossec-hids-2.8.1.tar.gz
将生成的MD5校验和与校验和文件中的MD5进行比较。 他们应该匹配。
对SHA1校验和执行相同操作:键入:
sha1sum ossec-hids-2.8.1.tar.gz
预期输出:
0ecf1df09558dc8bb4b6f65e1fb2ca7a7df9817c ossec-hids-2.8.1.tar.gz
如果两者都匹配,你很好去。 第二步招待。
第2步 - 安装OSSEC
在此步骤中,您将安装OSSEC。
OSSEC可以安装在服务器 , 代理 , 本地或混合模式。 此安装用于监视安装了OSSEC的服务器。 这意味着本地安装。
在安装可以开始之前,您必须展开该文件。 你可以通过键入:
tar -zxf ossec-hids-2.8.1.tar.gz
在这之后,你应该有一个名为OSSEC-HIDS-2.8.1目录。 要开始安装,您必须将(cd)更改为该目录,您可以键入以下命令:
cd ossec-hids-2.8.1
一看就知道你现在在,通过键入使用ls命令的目录中的内容:
ls -lgG
您应该会看到这些文件和目录:
total 100
drwxrwxr-x 4 4096 Sep 8 21:03 active-response
-rw-rw-r-- 1 542 Sep 8 21:03 BUGS
-rw-rw-r-- 1 289 Sep 8 21:03 CONFIG
drwxrwxr-x 6 4096 Sep 8 21:03 contrib
-rw-rw-r-- 1 3196 Sep 8 21:03 CONTRIBUTORS
drwxrwxr-x 4 4096 Sep 8 21:03 doc
drwxrwxr-x 4 4096 Sep 8 21:03 etc
-rw-rw-r-- 1 1848 Sep 8 21:03 INSTALL
-rwxrwxr-x 1 32019 Sep 8 21:03 install.sh
-rw-rw-r-- 1 24710 Sep 8 21:03 LICENSE
-rw-rw-r-- 1 1664 Sep 8 21:03 README.md
drwxrwxr-x 30 4096 Sep 8 21:03 src
在该上市的兴趣给我们的唯一文件是install.sh。 这是OSSEC安装脚本。 要启动安装,请键入:
./install.sh
系统将提示您回答一些安装问题。
你需要的第一个任务是选择语言。 如下面的输出所示,默认为英语。 在整个安装过程中,如果需要进行选择,则方括号中的任何条目都是默认值。 如果默认值是您想要的,按ENTER键接受默认值。 除了必须输入您的电子邮件地址,我们建议您接受所有默认值,除非您知道自己正在做什么。
参赛作品以红色显示。
所以,如果你的语言是英语,按ENTER 。 否则,键入您的语言的两个字母,然后按ENTER键。
(en/br/cn/de/el/es/fr/hu/it/jp/nl/pl/ru/sr/tr) [en]:
选择语言后,您应该看到:
OSSEC HIDS v2.8 Installation Script - http://www.ossec.net
You are about to start the installation process of the OSSEC HIDS.
You must have a C compiler pre-installed in your system.
If you have any questions or comments, please send an e-mail
to dcid@ossec.net (or daniel.cid@gmail.com).
- System: Linux kuruji 3.13.0-36-generic
- User: root
- Host: kuruji
-- Press ENTER to continue or Ctrl-C to abort. --
按ENTER后,你应该得到:
1- What kind of installation do you want (server, agent, local, hybrid or help)? local
键入local ,然后按Enter。 你应该得到:
- Local installation chosen.
2- Setting up the installation environment.
- Choose where to install the OSSEC HIDS [/var/ossec]:
接受默认值,然后按ENTER键。 之后,你会得到:
- Installation will be made at /var/ossec .
3- Configuring the OSSEC HIDS.
3.1- Do you want e-mail notification? (y/n) [y]:
按ENTER键。
- What's your e-mail address? sammy@example.com
键入您要从OSSEC接收通知的电子邮件地址。
- We found your SMTP server as: mail.example.com.
- Do you want to use it? (y/n) [y]:
--- Using SMTP server: mail.example.com.
除非您具有要使用的特定SMTP服务器设置,否则请按ENTER键。
现在是让OSSEC知道应该运行什么检查的时候了。 为了响应脚本任何提示,接受按默认ENTER 。
ENTER用于完整性检查守护程序。
3.2- Do you want to run the integrity check daemon? (y/n) [y]:
- Running syscheck (integrity check daemon).
ENTER用于rootkit检测。
3.3- Do you want to run the rootkit detection engine? (y/n) [y]:
- Running rootcheck (rootkit detection).
ENTER进行主动响应。
3.4- Active response allows you to execute a specific command based on the events received.
Do you want to enable active response? (y/n) [y]:
Active response enabled.
接受防火墙拒绝响应的默认值。 您的输出可能显示一些IPv6选项 - 没关系。
Do you want to enable the firewall-drop response? (y/n) [y]:
- firewall-drop enabled (local) for levels >= 6
- Default white list for the active response:
- 8.8.8.8
- 8.8.4.4
- Do you want to add more IPs to the white list? (y/n)? [n]:
您可以在此处添加您的IP地址,但这不是必需的。
OSSEC现在将提供其将监视的文件的默认列表。 安装后可以添加其他文件,因此按ENTER键。
3.6- Setting the configuration to analyze the following logs:
-- /var/log/auth.log
-- /var/log/syslog
-- /var/log/dpkg.log
- If you want to monitor any other file, just change
the ossec.conf and add a new localfile entry.
Any questions about the configuration can be answered
by visiting us online at http://www.ossec.net .
--- Press ENTER to continue ---
到此时,安装程序具有安装OSSEC所需的所有信息。 踢回来,让安装程序做它的事情。 安装约需5分钟。 如果安装成功,您现在可以开始和配置OSSEC。
注:其中一个原因,可能无法安装是,如果没有安装编译器。 在这种情况下,你会得到这样的错误:
5- Installing the system - Running the Makefile ./install.sh: 85: ./install.sh: make: not found Error 0x5. Building error. Unable to finish the installation.如果你得到这个错误,那么你需要安装
build-essential,因为在本教程的前提条件部分解释。
如果安装成功,您应该看到这种类型的输出:
- System is Debian (Ubuntu or derivative).
- Init script modified to start OSSEC HIDS during boot.
- Configuration finished properly.
- To start OSSEC HIDS:
/var/ossec/bin/ossec-control start
- To stop OSSEC HIDS:
/var/ossec/bin/ossec-control stop
- The configuration can be viewed or modified at /var/ossec/etc/ossec.conf
--- Press ENTER to finish (maybe more information below). ---
OSSEC现已安装。 下一步是启动它。
第3步 - 启动OSSEC
默认情况下,OSSEC配置为在引导时启动,但第一次,您必须手动启动它。
如果要检查其当前状态,请键入:
/var/ossec/bin/ossec-control status
预期输出:
ossec-monitord not running...
ossec-logcollector not running...
ossec-syscheckd not running...
ossec-analysisd not running...
ossec-maild not running...
ossec-execd not running...
这告诉你没有OSSEC的进程正在运行。
要启动OSSEC,请键入:
/var/ossec/bin/ossec-control start
你应该看到它启动:
Starting OSSEC HIDS v2.8 (by Trend Micro Inc.)...
Started ossec-maild...
Started ossec-execd...
Started ossec-analysisd...
Started ossec-logcollector...
Started ossec-syscheckd...
Started ossec-monitord...
Completed.
如果再次检查状态,您应该得到OSSEC现在正在运行的确认。
/var/ossec/bin/ossec-control status
此输出显示OSSEC正在运行:
ossec-monitord is running...
ossec-logcollector is running...
ossec-syscheckd is running...
ossec-analysisd is running...
ossec-maild is running...
ossec-execd is running...
在启动OSSEC之后,您应该收到如下所示的电子邮件:
OSSEC HIDS Notification.
2014 Nov 30 11:15:38
Received From: ossec2->ossec-monitord
Rule: 502 fired (level 3) -> "Ossec server started."
Portion of the log(s):
ossec: Ossec started.
这是另一个确认,OSSEC工作,并将发送电子邮件警报,无论什么时候配置监视发生。 即使重新启动,OSSEC也会向您发送电子邮件。
如果您没有立即收到此电子邮件,请不要担心。 您可能仍需要调整电子邮件设置(我们将在教程后面部分介绍),以确保您的OSSEC服务器的电子邮件可以通过您的邮件提供商。 这对于一些第三方电子邮件服务提供商(如Google和Fastmail)尤其如此。
第4步 - 配置OSSEC以进行文件修改的实时警报
接下来,让我们了解OSSEC的文件和目录,并了解如何更改OSSEC的监视和警报设置。
在本教程中,我们将修改OSSEC,以便在文件被修改,删除或添加到您指定的目录时通知您。
了解OSSEC的目录结构
OSSEC的默认目录是只与根(管理员)权限的用户可以访问一个chroot -ed(沙盒)环境。 一个标准的用户不能cd到/var/ossec甚至列出的文件。 作为根(或管理员)用户,但是,你可以。
因此, cd到由输入安装目录:
cd /var/ossec
要列出新工作目录中的文件,请键入:
ls -lgG
您应该会看到这些文件和目录:
total 40
dr-xr-x--- 3 4096 Nov 26 14:56 active-response
dr-xr-x--- 2 4096 Nov 20 20:56 agentless
dr-xr-x--- 2 4096 Nov 20 20:56 bin
dr-xr-x--- 3 4096 Nov 29 00:49 etc
drwxr-x--- 5 4096 Nov 20 20:56 logs
dr-xr-x--- 11 4096 Nov 20 20:56 queue
dr-xr-x--- 4 4096 Nov 20 20:56 rules
drwxr-x--- 5 4096 Nov 20 21:00 stats
dr-xr-x--- 2 4096 Nov 20 20:56 tmp
dr-xr-x--- 3 4096 Nov 29 18:34 var
- OSSEC的主要配置文件是
/var/ossec/etc目录中。 - 预定义的规则是在
/var/ossec/rules目录 - 命令用于管理OSSEC是
/var/ossec/bin - 记下的
/var/ossec/logs目录。 如果OSSEC曾经抛出一个错误,/var/ossec/logs/ossec.log在该目录中的文件是看首位
主配置文件,/var/ossec/etc/ossec.conf
要访问主配置文件,你必须改变成/var/ossec/etc 。 为此,请键入:
cd /var/ossec/etc
如果你做一个ls ,而在该目录中,你会看到这些文件和目录:
ls -lgG
结果:
total 120
-r--r----- 1 97786 Sep 8 22:03 decoder.xml
-r--r----- 1 2842 Sep 8 22:03 internal_options.conf
-r--r----- 1 3519 Oct 30 13:46 localtime
-r--r----- 1 7752 Nov 29 09:45 ossec.conf
-rw-r----- 1 87 Nov 20 20:56 ossec-init.conf
drwxrwx--- 2 4096 Nov 20 21:00 shared
主要的配置文件是/var/ossec/etc/ossec.conf 。
在修改文件之前,做一个备份副本,以防万一。 为了使该副本,使用cp命令,如下所示:
cp /var/ossec/etc/ossec.conf /var/ossec/etc/ossec.conf.00
想法是如果您的更改不工作或弄乱系统,您可以恢复到副本,并恢复正常。 这是最简单的灾难恢复实践,你应该总是利用。
现在,打开ossec.conf通过使用nano编辑器。
nano /var/ossec/etc/ossec.conf
配置文件是一个很长的XML文件,包含几个部分。
电子邮件设置
注意:电子邮件是一般的挑剔,特别是如果你要发送到邮件严格提供商像发送到Gmail地址。 检查您的垃圾邮件,并根据需要调整您的设置。
您将看到的第一个配置选项是您在安装期间指定的电子邮件凭证。 如果您需要指定不同的电子邮件地址和/或SMTP服务器,这是做的地方。
<global>
<email_notification>yes</email_notification>
<email_to>sammy@example.com</email_to>
<smtp_server>mail.example.com.</smtp_server>
<email_from>ossecm@ossec_server</email_from>
</global>
默认情况下,OSSEC每小时发送12封电子邮件,因此您不会充斥电子邮件警报。 您可以增加或通过添加降低该值<email_maxperhour> N </email_maxperhour>设置该节这样记载:
<global>
<email_notification>yes</email_notification>
<email_to>sammy@example.com</email_to>
<smtp_server>mail.example.com.</smtp_server>
<email_from>ossecm@ossec_server</email_from>
<email_maxperhour>N</email_maxperhour>
</global>
请更换N您要每小时接收,1和9999之间的电子邮件的数量。
某些第三方电子邮件服务提供商(谷歌和Fastmail,例如)将自动删除由OSSEC发出警报,如果<email_from>地址不包含一个有效的域部分,像在上面的代码块。 为避免这种情况,请确保该电子邮件地址包含有效的域部件。 例如:
<global>
<email_notification>yes</email_notification>
<email_to>sammy@example.com</email_to>
<smtp_server>mail.example.com.</smtp_server>
<email_from>sammy@ossec_server.com</email_from>
</global>
所述<email_to>和<email_from>地址可以是相同的。 例如:
<global>
<email_notification>yes</email_notification>
<email_to>sammy@example.com</email_to>
<smtp_server>mail.example.com.</smtp_server>
<email_from>sammy@example.com</email_from>
</global>
如果不想使用外部电子邮件提供商的SMTP服务器,则可以指定自己的SMTP服务器(如果已配置)。 (这不包括在本教程中,但你可以安装之后Postfix的这些说明 。)如果您的SMTP服务器在同一Droplet的OSSEC运行,修改<smtp_server>设置为localhost 。 例如:
<global>
<email_notification>yes</email_notification>
<email_to>sammy@example.com</email_to>
<smtp_server>localhost</smtp_server>
<email_from>sammy@example.com</email_from>
</global>
OSSEC默认不发送实时警报,但本教程要求实时通知,因此这是您要修改的一个方面。
如果你还没有从OSSEC收到预期的电子邮件,检查日志在/var/ossec/logs/ossec.log邮件错误。
邮件错误示例:
2014/12/18 17:48:35 os_sendmail(1767): WARN: End of DATA not accepted by server
2014/12/18 17:48:35 ossec-maild(1223): ERROR: Error Sending email to 74.125.131.26 (smtp server)
您可以使用这些错误消息来帮助您调试接收电子邮件通知的任何问题。
扫描频率
在<syscheck>部分ossec.conf ,它开始是这样的:
<syscheck>
<!-- Frequency that syscheck is executed - default to every 22 hours -->
<frequency>79200</frequency>
我们将打开新文件创建的警报。 添加行<alert_new_files>yes</alert_new_files>以便它读取如下:
<syscheck>
<!-- Frequency that syscheck is executed - default to every 22 hours -->
<frequency>79200</frequency>
<alert_new_files>yes</alert_new_files>
出于测试目的,您可能还需要将系统检查的频率设置得低得多。 默认情况下,系统检查每22小时运行一次。 出于测试目的,您可能需要将其设置为每分钟一次,也就是60秒还原这一个理智的价值,当你完成测试。
<syscheck>
<!-- Frequency that syscheck is executed - default to every 22 hours -->
<frequency>60</frequency>
<alert_new_files>yes</alert_new_files>
目录和文件更改设置
紧接着,您应该可以看到OSSEC监视的系统目录列表。 它看起来像:
<!-- Directories to check (perform all possible verifications) -->
<directories check_all="yes">/etc,/usr/bin,/usr/sbin</directories>
<directories check_all="yes">/bin,/sbin</directories>
让我们通过增加设置使实时监控report_changes="yes" realtime="yes"到每一行。 修改这些行,使他们读取:
<!-- Directories to check (perform all possible verifications) -->
<directories report_changes="yes" realtime="yes" check_all="yes">/etc,/usr/bin,/usr/sbin</directories>
<directories report_changes="yes" realtime="yes" check_all="yes">/bin,/sbin</directories>
report_changes="yes"没有什么是说。 同上,用于realtime="yes"
除了OSSEC已配置为要监视的默认目录列表之外,还可以添加要监视的新目录。 在下一节中,我要告诉OSSEC监视/home/sammy和/var/www 。 为此,我要在现有的行下面添加一个新行,使该部分现在为:
<!-- Directories to check (perform all possible verifications) -->
<directories report_changes="yes" realtime="yes" check_all="yes">/etc,/usr/bin,/usr/sbin</directories>
<directories report_changes="yes" realtime="yes" check_all="yes">/bin,/sbin</directories>
<directories report_changes="yes" realtime="yes" restrict=".php|.js|.py|.sh|.html" check_all="yes">/home/sammy,/var/www</directories>
您应该修改目录以匹配所需的设置。 如果用户未命名的sammy ,你会想的路径切换到主目录。
对于新目录进行监控,我们添加了restrict选项,告诉OSSEC只监视指定的文件格式。 你不必使用该选项,但它有助于当你有其他文件,如图像文件,你不希望OSSEC警告。
这是所有的变化ossec.conf 。 您可以保存并关闭文件。
/var/ossec/rules/local_rules.xml中的本地规则
接下来的文件来修改是在/var/ossec/rules目录,所以cd到它通过键入:
cd /var/ossec/rules
如果你做一个ls在该目录中,你会看到一堆这样的XML文件:
ls -lgG
缩写输出:
total 376
-r-xr-x--- 1 5882 Sep 8 22:03 apache_rules.xml
-r-xr-x--- 1 2567 Sep 8 22:03 arpwatch_rules.xml
-r-xr-x--- 1 3726 Sep 8 22:03 asterisk_rules.xml
-r-xr-x--- 1 4315 Sep 8 22:03 attack_rules.xml
...
-r-xr-x--- 1 1772 Nov 30 17:33 local_rules.xml
...
-r-xr-x--- 1 10359 Sep 8 22:03 ossec_rules.xml
...
只有两个这些文件是我们感兴趣的现在- local_rules.xml和ossec_rules.xml 。 后者包含OSSEC的默认规则定义,而前者是添加自定义规则的位置。 换句话说,除了local_rules.xml ,您不要修改此目录中的任何文件。
在默认的规则定义ossec_rules.xml都看,所以我们可以通过修改有用,并将其复制到我们的地方性法规。 在ossec_rules.xml ,当一个文件被添加到监控目录触发该规则是规则554。 默认情况下,当触发规则时,OSSEC不发出警报,因此此处的任务是更改此行为。 下面是默认版本中的规则554:
<rule id="554" level="0">
<category>ossec</category>
<decoded_as>syscheck_new_entry</decoded_as>
<description>File added to the system.</description>
<group>syscheck,</group>
</rule>
如果规则有OSSEC不会发出警报level设置为0。 我们要修改此规则以提高警报级别。 而不是在默认的文件更改它,我们将复制规则local_rules.xml并对其进行修改,以便它可以触发警报。
要做到这一点,使的备份副本/var/ossec/rules/local_rules.xml文件:
cp /var/ossec/rules/local_rules.xml /var/ossec/rules/local_rules.xml.00
用nano编辑文件:
nano /var/ossec/rules/local_rules.xml
在文件末尾添加新规则。 请确保它是在<group> ... </group>标记。
<rule id="554" level="7" overwrite="yes">
<category>ossec</category>
<decoded_as>syscheck_new_entry</decoded_as>
<description>File added to the system.</description>
<group>syscheck,</group>
</rule>
保存并关闭文件。
这些都是必要的改变。
重新启动OSSEC
现在剩下的就是重新启动OSSEC,这是必须做的任何时候,你修改OSSEC的文件。 要重新启动OSSEC类型:
/var/ossec/bin/ossec-control restart
如果一切正常,您应该收到来自OSSEC的电子邮件,通知您已经(重新)启动。
第5步 - 触发器文件更改警报
根据OSSEC被配置监视的目录中发生的情况,你应该得到类似这样的电子邮件:
现在尝试创建一个样本文件/home/sammy
touch /home/sammy/index.html
等一下。 添加一些内容:
nano /home/sammy/index.html
等一下。 删除文件:
rm /home/sammy/index.html
您应该开始接收这样的通知:
OSSEC HIDS Notification.
2014 Nov 30 18:03:51
Received From: ossec2->syscheck
Rule: 550 fired (level 7) -> "Integrity checksum changed."
Portion of the log(s):
Integrity checksum changed for: '/home/sammy/index.html'
Size changed from '21' to '46'
What changed:
1c1,4
< This is an html file
---
<!doctype html> <p>This is an html file</p>
Old md5sum was: '4473d6ada73de51b5b36748627fa119b'
New md5sum is : 'ef36c42cd7014de95680d656dec62de9'
Old sha1sum was: '96bd9d685a7d23b20abd7d8231bb215521bcdb6c'
New sha1sum is : '5ab0f31c32077a23c71c18018a374375edcd0b90'
或这个:
OSSEC HIDS Notification.
2014 Dec 01 10:13:31
Received From: ossec2->syscheck
Rule: 554 fired (level 7) -> "File added to the system."
Portion of the log(s):
New file '/var/www/header.html' added to the file system.
注:OSSEC不发出实时警报的文件的添加,只能在文件修改和删除。 对文件的添加警报全面的系统检查,这是由频率检查时间支配后出门
ossec.conf。nano /var/ossec/etc/ossec.conf设置
frequency:<syscheck> <!-- Frequency that syscheck is executed - default to every 22 hours --> <frequency>79200</frequency>
同样,如果你没有得到电子邮件,请检查您的垃圾邮件,请检查您/var/ossec/logs/ossec.log ,查看邮件日志等。
结论
我希望这给了你一个OSSEC提供的味道。 更高级的设置和配置是可能的,请关注如何部署OSSEC以监控和保护您的服务器的未来文章。
有关OSSEC的更多信息,请访问该项目的网站在http://www.ossec.net/ 。
