어드민플레이 - Linux Security Q&A - ossec 로그 분석 툴 설치

ossec 라는 오픈소스는 로그를 분석하여 실시간으로 보안 침입이나 이상 징후를 관리자에
게 통보해 주는 프로그램입니다.

zlib 와 openssl 의 일부기능을 사용

설치
1. w.get http://www.ossec.net/files/ossec-hids-1.5.tar.gz
tar zxvf ossec-hids-1.5.tar.gz
cd ossec-hids-1.5.1
./install.sh
: 기본적으로 /var/ossec 디렉토리에 생성
/etc/rc.d/init.d/ossec 생성 /etc/rc.local 또는

-What kind of installation do you want (server, agent, local or help)? local (로컬설치)
-Do you want to run the integrity check daemon? (y/n) [y]: y 무결성 체크 데몬을 실행할 것인지 설정
-Do you want to run the rootkit detection engine? (y/n) [y]: y 루트킷 검출 엔진을 실행할 것인지 설정
Running rootcheck (rootkit detection).
- Do you want to enable active response? (y/n) [y]: y 실시간 응답을 사용할 것인지설정
Active response enabled
- Do you want to enable the firewall-drop response? (y/n) [y]: y 방화벽이 중지되었을때 응답을 사용할 것이지 설정
- Do you want to add more IPs to the white list? (y/n)? [n]: n 화이트리스트 ip를 추가할 것인지 설정
시작 및 중지

[root@saintserver ossec-hids-1.5.1]# /var/ossec/bin/ossec-control start
Starting OSSEC HIDS v1.5.1 (by Third Brigade, Inc.)...
Started ossec-maild...
Started ossec-execd...
Started ossec-analysisd...
Started ossec-logcollector...
Started ossec-syscheckd...
Started ossec-monitord...
Completed.
[root@saintserver ossec-hids-1.5.1]# /var/ossec/bin/ossec-control stop
Killing ossec-monitord ..
Killing ossec-logcollector ..
Killing ossec-syscheckd ..
Killing ossec-analysisd ..
Killing ossec-maild ..
Killing ossec-execd ..

OSSEC HIDS v1.5.1 Stopped
관리자 메일로 다음과 같은 제목으로 메일이 수신 됩니다.
OSSEC HIDS OSSEC Notification - saintserver - Alert level 2 2008/08/21 04:063 KB
OSSEC HIDS OSSEC Notification - saintserver - Alert level 4 2008/08/20 17:002 KB
OSSEC HIDS OSSEC Notification - saintserver - Alert level 7 2008/08/20 17:043 KB

메일 내용은 다음과 같이 md5 checksum 무결성 검사 결과 까지 통보가 됩니다.

OSSEC HIDS Notification.
2008 Aug 20 17:04:00
Received From: saintserver->syscheck
Rule: 550 fired (level 7) -> "Integrity checksum changed."
Portion of the log(s):
Integrity checksum changed for: '/etc/blkid/blkid.tab.old'
Old md5sum was: 'd3ea2ce55790955279ef0ff6b5969fff'
New md5sum is : '38e36a46cb17d16b90d62ccec8569f91'
Old sha1sum was: 'e5f11684d5b49c049f92a1938a2993fe4851fb9d'
New sha1sum is : '308fd058b1615b7733b9fa0ecc33f2c57fc805c9'
--END OF NOTIFICATION

가끔씩 관리자 페이지를 확인하여 위와같은 에러를 확인해 보는것도 서버 관리에 도움이 될 것 같습니다.

List of Articles
번호	제목	글쓴이	날짜	조회 수
68	iptables-connlimit & geoip 설치설정	ADMINPLAY	2009.05.28	10342
67	iptables/sysctl을 이용하여 DDOS SYN 공격 방어하기	ADMINPLAY	2009.05.28	9204
66	iptables를 이용한 SSH brute force 공격방어	l2zeo	2010.05.29	19687
65	iptables와 mod_security 연동을 통한 ip 차단	ADMINPLAY	2010.09.15	19763
64	Kernel 2.4.23 버전 이하에 나온 ptrace 버그에 관한 사항	ADMINPLAY	2009.12.13	8797
63	Linux Security	ADMINPLAY	2009.07.18	9749
62	LINUX 해킹당했을 때 대처요령	l2zeo	2010.03.08	8731
61	lsof 활용 가이드	ADMINPLAY	2009.11.30	8313
60	Modsecurity 무료 웹방화벽 설치	ADMINPLAY	2010.09.12	24049
59	modsecurity-2.5 configure: *** apr library not found.	ADMINPLAY	2010.09.12	21132
58	Modsecurity-apache 2.5.12	ADMINPLAY	2010.09.12	18707
57	Modsecurity-apache 2.5.X 설치중 에러 server: /usr/lib/...	ADMINPLAY	2010.09.12	21286
56	mod_evasive를 이용한 웹Dos 공격을 막자	ADMINPLAY	2009.05.07	9425
55	mod_security 설치 2.X	ADMINPLAY	2009.06.04	9410
»	ossec 로그 분석 툴 설치	ADMINPLAY	2009.10.20	11527
53	pam_abl 을 통한 SSH 무작위 공격 방어	ADMINPLAY	2009.06.04	8731
52	PHP 보안관련 설정 권고사항	ADMINPLAY	2010.05.19	20208
51	PHP 보안의 약방의 감초 open_basedir	ADMINPLAY	2014.01.02	7521
50	php 수호신 설치	ADMINPLAY	2010.05.03	20824
49	php.ini 보안 설정	ADMINPLAY	2010.05.03	20373

번호

제목

글쓴이

로그인

ossec 로그 분석 툴 설치

단축키

단축키

Who's ADMINPLAY