어드민플레이 - Linux Security Q&A - ossec 로그 분석 툴 설치

ossec 라는 오픈소스는 로그를 분석하여 실시간으로 보안 침입이나 이상 징후를 관리자에
게 통보해 주는 프로그램입니다.

zlib 와 openssl 의 일부기능을 사용

설치
1. w.get http://www.ossec.net/files/ossec-hids-1.5.tar.gz
tar zxvf ossec-hids-1.5.tar.gz
cd ossec-hids-1.5.1
./install.sh
: 기본적으로 /var/ossec 디렉토리에 생성
/etc/rc.d/init.d/ossec 생성 /etc/rc.local 또는

-What kind of installation do you want (server, agent, local or help)? local (로컬설치)
-Do you want to run the integrity check daemon? (y/n) [y]: y 무결성 체크 데몬을 실행할 것인지 설정
-Do you want to run the rootkit detection engine? (y/n) [y]: y 루트킷 검출 엔진을 실행할 것인지 설정
Running rootcheck (rootkit detection).
- Do you want to enable active response? (y/n) [y]: y 실시간 응답을 사용할 것인지설정
Active response enabled
- Do you want to enable the firewall-drop response? (y/n) [y]: y 방화벽이 중지되었을때 응답을 사용할 것이지 설정
- Do you want to add more IPs to the white list? (y/n)? [n]: n 화이트리스트 ip를 추가할 것인지 설정
시작 및 중지

[root@saintserver ossec-hids-1.5.1]# /var/ossec/bin/ossec-control start
Starting OSSEC HIDS v1.5.1 (by Third Brigade, Inc.)...
Started ossec-maild...
Started ossec-execd...
Started ossec-analysisd...
Started ossec-logcollector...
Started ossec-syscheckd...
Started ossec-monitord...
Completed.
[root@saintserver ossec-hids-1.5.1]# /var/ossec/bin/ossec-control stop
Killing ossec-monitord ..
Killing ossec-logcollector ..
Killing ossec-syscheckd ..
Killing ossec-analysisd ..
Killing ossec-maild ..
Killing ossec-execd ..

OSSEC HIDS v1.5.1 Stopped
관리자 메일로 다음과 같은 제목으로 메일이 수신 됩니다.
OSSEC HIDS OSSEC Notification - saintserver - Alert level 2 2008/08/21 04:063 KB
OSSEC HIDS OSSEC Notification - saintserver - Alert level 4 2008/08/20 17:002 KB
OSSEC HIDS OSSEC Notification - saintserver - Alert level 7 2008/08/20 17:043 KB

메일 내용은 다음과 같이 md5 checksum 무결성 검사 결과 까지 통보가 됩니다.

OSSEC HIDS Notification.
2008 Aug 20 17:04:00
Received From: saintserver->syscheck
Rule: 550 fired (level 7) -> "Integrity checksum changed."
Portion of the log(s):
Integrity checksum changed for: '/etc/blkid/blkid.tab.old'
Old md5sum was: 'd3ea2ce55790955279ef0ff6b5969fff'
New md5sum is : '38e36a46cb17d16b90d62ccec8569f91'
Old sha1sum was: 'e5f11684d5b49c049f92a1938a2993fe4851fb9d'
New sha1sum is : '308fd058b1615b7733b9fa0ecc33f2c57fc805c9'
--END OF NOTIFICATION

가끔씩 관리자 페이지를 확인하여 위와같은 에러를 확인해 보는것도 서버 관리에 도움이 될 것 같습니다.

List of Articles
번호	제목	글쓴이	날짜	조회 수
88	CentOS Portsentry 1.2 소스설치 오류	ADMINPLAY	2014.01.19	7066
87	PHP 보안의 약방의 감초 open_basedir	ADMINPLAY	2014.01.02	7536
86	CentOS 5.2 32bit 에 2.6.27.4 커널 + iptables 1.4.2 + c...	ADMIN	2008.11.10	7824
85	wowhacker.com	ADMIN	2008.11.11	8069
84	파일 퍼미션 설정을 통한 로컬 공격 방지	l2zeo	2010.03.08	8172
83	lsof 활용 가이드	ADMINPLAY	2009.11.30	8316
82	서버종합점검[리눅스]	ADMINPLAY	2009.05.28	8371
81	iptables 기본	ADMINPLAY	2009.05.22	8389
80	SSH 공격막아내기 방법	l2zeo	2010.03.08	8394
79	SSH(Security SHell) 보안쉘	ADMINPLAY	2009.10.20	8407
78	Tcpdump 용어 정리	ADMINPLAY	2010.01.30	8509
77	ZONE-H.KR	ADMIN	2008.11.11	8546
76	pam_abl 을 통한 SSH 무작위 공격 방어	ADMINPLAY	2009.06.04	8734
75	LINUX 해킹당했을 때 대처요령	l2zeo	2010.03.08	8734
74	시스템 로그를 메일로 - logcheck	ADMINPLAY	2009.09.08	8776
73	서버의 iptable 보안설정 일부분	ADMINPLAY	2009.05.28	8790
72	Kernel 2.4.23 버전 이하에 나온 ptrace 버그에 관한 사항	ADMINPLAY	2009.12.13	8800
71	iptables 옵션 및 상태 추적 테이블 및 rule	ADMINPLAY	2009.11.30	8854
70	iptables 설정, centos64 설치 간단셋팅	ADMINPLAY	2009.05.28	8857
69	홈페이지 보안 강화 도구(CASTLE) 보급 안내 1	ADMINPLAY	2010.01.22	8929

글쓴이

CentOS Portsentry 1.2 소스설치 오류

ADMINPLAY

2014.01.19

7066

PHP 보안의 약방의 감초 open_basedir

ADMINPLAY

2014.01.02