Skip to content

Home 서버 Linux Security
뷰어로 보기
2009.10.20 16:49

ossec 로그 분석 툴 설치

ADMINPLAY
조회 수 11529 추천 수 0 댓글 0
?

단축키

Prev이전 문서

Next다음 문서

크게 작게 위로 아래로 댓글로 가기 인쇄
?

단축키

Prev이전 문서

Next다음 문서

크게 작게 위로 아래로 댓글로 가기 인쇄

ossec 라는 오픈소스는 로그를 분석하여 실시간으로 보안 침입이나 이상 징후를 관리자에
게 통보해 주는 프로그램입니다.


http://www.ossec.net 에서 다운로드 가능


zlib 와 openssl 의 일부기능을 사용


설치
1. w.get http://www.ossec.net/files/ossec-hids-1.5.tar.gz
tar zxvf ossec-hids-1.5.tar.gz
cd ossec-hids-1.5.1
./install.sh
: 기본적으로 /var/ossec 디렉토리에 생성
/etc/rc.d/init.d/ossec 생성 /etc/rc.local 또는


-What kind of installation do you want (server, agent, local or help)? local (로컬설치)
-Do you want to run the integrity check daemon? (y/n) [y]: y 무결성 체크 데몬을 실행할 것인지 설정
-Do you want to run the rootkit detection engine? (y/n) [y]: y 루트킷 검출 엔진을 실행할 것인지 설정
Running rootcheck (rootkit detection).
- Do you want to enable active response? (y/n) [y]: y 실시간 응답을 사용할 것인지설정
Active response enabled
- Do you want to enable the firewall-drop response? (y/n) [y]: y 방화벽이 중지되었을때 응답을 사용할 것이지 설정
- Do you want to add more IPs to the white list? (y/n)? [n]: n 화이트리스트 ip를 추가할 것인지 설정
시작 및 중지


[root@saintserver ossec-hids-1.5.1]# /var/ossec/bin/ossec-control start
Starting OSSEC HIDS v1.5.1 (by Third Brigade, Inc.)...
Started ossec-maild...
Started ossec-execd...
Started ossec-analysisd...
Started ossec-logcollector...
Started ossec-syscheckd...
Started ossec-monitord...
Completed.
[root@saintserver ossec-hids-1.5.1]# /var/ossec/bin/ossec-control stop
Killing ossec-monitord ..
Killing ossec-logcollector ..
Killing ossec-syscheckd ..
Killing ossec-analysisd ..
Killing ossec-maild ..
Killing ossec-execd ..


OSSEC HIDS v1.5.1 Stopped
관리자 메일로 다음과 같은 제목으로 메일이 수신 됩니다.
OSSEC HIDS OSSEC Notification - saintserver - Alert level 2 2008/08/21 04:063 KB
OSSEC HIDS OSSEC Notification - saintserver - Alert level 4 2008/08/20 17:002 KB
OSSEC HIDS OSSEC Notification - saintserver - Alert level 7 2008/08/20 17:043 KB


메일 내용은 다음과 같이 md5 checksum 무결성 검사 결과 까지 통보가 됩니다.


OSSEC HIDS Notification.
2008 Aug 20 17:04:00
Received From: saintserver->syscheck
Rule: 550 fired (level 7) -> "Integrity checksum changed."
Portion of the log(s):
Integrity checksum changed for: '/etc/blkid/blkid.tab.old'
Old md5sum was: 'd3ea2ce55790955279ef0ff6b5969fff'
New md5sum is : '38e36a46cb17d16b90d62ccec8569f91'
Old sha1sum was: 'e5f11684d5b49c049f92a1938a2993fe4851fb9d'
New sha1sum is : '308fd058b1615b7733b9fa0ecc33f2c57fc805c9'
--END OF NOTIFICATION


가끔씩 관리자 페이지를 확인하여 위와같은 에러를 확인해 보는것도 서버 관리에 도움이 될 것 같습니다.

Who's ADMINPLAY

profile

일요일은 짜빠게뤼~ 먹는날~^^

Facebook Twitter Google Pinterest
위로 아래로 댓글로 가기 인쇄
에디터 선택하기
?
List of Articles
번호 제목 글쓴이 날짜 조회 수
68 보안서버 SSL 구동시 비밀번호 자동 입력 및 부팅시 자동 ... ADMINPLAY 2009.03.23 9314
67 보안 체킹 프로그램 - portsentry file ADMINPLAY 2010.04.27 16169
66 매직키를 이용한 응급복구법 l2zeo 2010.03.31 32085
65 리눅스용 백신 AVG ADMINPLAY 2009.06.04 9090
64 리눅스용 각종 보안도구 사이트모음 ADMINPLAY 2009.07.12 33697
63 리눅스서버에서 ping(ICMP) 열기/닫기 ADMINPLAY 2009.08.18 14836
62 리눅스 해킹점검 가이드 ADMIN 2008.12.10 18234
61 리눅스 아이피 차단 해제 ADMINPLAY 2009.03.11 10538
60 리눅스 보안 - 권한설정에 주의해야할 명령어들은 ? l2zeo 2010.03.31 27745
59 리눅스 - iptables NAT rule ADMINPLAY 2010.03.24 9671
58 기본 tcpdump사용법 ADMINPLAY 2009.05.22 11695
57 국가별로 접속 차단설정(geoip 설치) ADMINPLAY 2009.05.10 10334
56 간단한 보안 설정 (TCP Wrapper) ADMINPLAY 2009.05.22 8941
55 [적용] iptables 접속 차단 스크립트 ADMINPLAY 2010.05.03 25657
54 [그누보드관련] $_POST 는 이미 오염된(?) 변수다. ADMINPLAY 2010.11.18 16127
53 ZONE-H.KR ADMIN 2008.11.11 8542
52 wowhacker.com ADMIN 2008.11.11 8065
51 Tcpdump 사용법 ADMINPLAY 2009.06.06 11158
50 Tcpdump 용어 정리 ADMINPLAY 2010.01.30 8507
49 SYN Flooding공격에 대한 대비 ADMINPLAY 2009.09.24 12966
쓰기
Board Pagination Prev 1 2 3 4 5 Next
/ 5

Copyright ADMINPLAY corp. All rights reserved.

abcXYZ, 세종대왕,1234

abcXYZ, 세종대왕,1234