Skip to content

조회 수 11576 추천 수 0 댓글 0
?

단축키

Prev이전 문서

Next다음 문서

크게 작게 위로 아래로 댓글로 가기 인쇄
?

단축키

Prev이전 문서

Next다음 문서

크게 작게 위로 아래로 댓글로 가기 인쇄

ossec 라는 오픈소스는 로그를 분석하여 실시간으로 보안 침입이나 이상 징후를 관리자에
게 통보해 주는 프로그램입니다.


http://www.ossec.net 에서 다운로드 가능


zlib 와 openssl 의 일부기능을 사용


설치
1. w.get http://www.ossec.net/files/ossec-hids-1.5.tar.gz
tar zxvf ossec-hids-1.5.tar.gz
cd ossec-hids-1.5.1
./install.sh
: 기본적으로 /var/ossec 디렉토리에 생성
/etc/rc.d/init.d/ossec 생성 /etc/rc.local 또는


-What kind of installation do you want (server, agent, local or help)? local (로컬설치)
-Do you want to run the integrity check daemon? (y/n) [y]: y 무결성 체크 데몬을 실행할 것인지 설정
-Do you want to run the rootkit detection engine? (y/n) [y]: y 루트킷 검출 엔진을 실행할 것인지 설정
Running rootcheck (rootkit detection).
- Do you want to enable active response? (y/n) [y]: y 실시간 응답을 사용할 것인지설정
Active response enabled
- Do you want to enable the firewall-drop response? (y/n) [y]: y 방화벽이 중지되었을때 응답을 사용할 것이지 설정
- Do you want to add more IPs to the white list? (y/n)? [n]: n 화이트리스트 ip를 추가할 것인지 설정
시작 및 중지


[root@saintserver ossec-hids-1.5.1]# /var/ossec/bin/ossec-control start
Starting OSSEC HIDS v1.5.1 (by Third Brigade, Inc.)...
Started ossec-maild...
Started ossec-execd...
Started ossec-analysisd...
Started ossec-logcollector...
Started ossec-syscheckd...
Started ossec-monitord...
Completed.
[root@saintserver ossec-hids-1.5.1]# /var/ossec/bin/ossec-control stop
Killing ossec-monitord ..
Killing ossec-logcollector ..
Killing ossec-syscheckd ..
Killing ossec-analysisd ..
Killing ossec-maild ..
Killing ossec-execd ..


OSSEC HIDS v1.5.1 Stopped
관리자 메일로 다음과 같은 제목으로 메일이 수신 됩니다.
OSSEC HIDS OSSEC Notification - saintserver - Alert level 2 2008/08/21 04:063 KB
OSSEC HIDS OSSEC Notification - saintserver - Alert level 4 2008/08/20 17:002 KB
OSSEC HIDS OSSEC Notification - saintserver - Alert level 7 2008/08/20 17:043 KB


메일 내용은 다음과 같이 md5 checksum 무결성 검사 결과 까지 통보가 됩니다.


OSSEC HIDS Notification.
2008 Aug 20 17:04:00
Received From: saintserver->syscheck
Rule: 550 fired (level 7) -> "Integrity checksum changed."
Portion of the log(s):
Integrity checksum changed for: '/etc/blkid/blkid.tab.old'
Old md5sum was: 'd3ea2ce55790955279ef0ff6b5969fff'
New md5sum is : '38e36a46cb17d16b90d62ccec8569f91'
Old sha1sum was: 'e5f11684d5b49c049f92a1938a2993fe4851fb9d'
New sha1sum is : '308fd058b1615b7733b9fa0ecc33f2c57fc805c9'
--END OF NOTIFICATION


가끔씩 관리자 페이지를 확인하여 위와같은 에러를 확인해 보는것도 서버 관리에 도움이 될 것 같습니다.


  1. No Image 31Mar
    by l2zeo
    2010/03/31 by l2zeo
    Views 27817 

    리눅스 보안 - 권한설정에 주의해야할 명령어들은 ?

  2. No Image 28Mar
    by l2zeo
    2010/03/28 by l2zeo
    Views 11629 

    안티 루트킷 사용 예

  3. No Image 24Mar
    by ADMINPLAY
    2010/03/24 by ADMINPLAY
    Views 9725 

    리눅스 - iptables NAT rule

  4. Cisco/Tip/라우터,스위치에서 패킷 캡쳐하기

  5. No Image 08Mar
    by l2zeo
    2010/03/08 by l2zeo
    Views 9901 

    해킹이 의심될 때 사용되는 명령어들

  6. iptables 리눅스? NETFILTER관련

  7. No Image 08Mar
    by l2zeo
    2010/03/08 by l2zeo
    Views 8781 

    LINUX 해킹당했을 때 대처요령

  8. No Image 08Mar
    by l2zeo
    2010/03/08 by l2zeo
    Views 8229 

    파일 퍼미션 설정을 통한 로컬 공격 방지

  9. No Image 08Mar
    by l2zeo
    2010/03/08 by l2zeo
    Views 8449 

    SSH 공격막아내기 방법

  10. No Image 30Jan
    by ADMINPLAY
    2010/01/30 by ADMINPLAY
    Views 8549 

    Tcpdump 용어 정리

  11. 홈페이지 보안 강화 도구(CASTLE) 보급 안내

  12. No Image 13Dec
    by ADMINPLAY
    2009/12/13 by ADMINPLAY
    Views 8842 

    Kernel 2.4.23 버전 이하에 나온 ptrace 버그에 관한 사항

  13. No Image 30Nov
    by ADMINPLAY
    2009/11/30 by ADMINPLAY
    Views 8357 

    lsof 활용 가이드

  14. No Image 30Nov
    by ADMINPLAY
    2009/11/30 by ADMINPLAY
    Views 9824 

    실전 테스트!! 스니퍼 공격

  15. No Image 30Nov
    by ADMINPLAY
    2009/11/30 by ADMINPLAY
    Views 9311 

    해외에서 접근하는 IP 차단하기

  16. No Image 30Nov
    by ADMINPLAY
    2009/11/30 by ADMINPLAY
    Views 8917 

    iptables 옵션 및 상태 추적 테이블 및 rule

  17. No Image 20Oct
    by ADMINPLAY
    2009/10/20 by ADMINPLAY
    Views 11576 

    ossec 로그 분석 툴 설치

  18. No Image 20Oct
    by ADMINPLAY
    2009/10/20 by ADMINPLAY
    Views 8444 

    SSH(Security SHell) 보안쉘

  19. No Image 15Oct
    by ADMINPLAY
    2009/10/15 by ADMINPLAY
    Views 9091 

    홈페이지 변조 대처법 (FTP 계정을 이용한 아이프레임 코드 삽입)

  20. No Image 15Oct
    by ADMINPLAY
    2009/10/15 by ADMINPLAY
    Views 10869 

    iframe 이용한 악성코드 삽입, 홈페이지 변조 사고 대비 대응책

Board Pagination Prev 1 2 3 4 5 Next
/ 5

Copyright ADMINPLAY corp. All rights reserved.

abcXYZ, 세종대왕,1234

abcXYZ, 세종대왕,1234