어드민플레이 - Linux Security Q&A - ossec 로그 분석 툴 설치

ossec 라는 오픈소스는 로그를 분석하여 실시간으로 보안 침입이나 이상 징후를 관리자에
게 통보해 주는 프로그램입니다.

zlib 와 openssl 의 일부기능을 사용

설치
1. w.get http://www.ossec.net/files/ossec-hids-1.5.tar.gz
tar zxvf ossec-hids-1.5.tar.gz
cd ossec-hids-1.5.1
./install.sh
: 기본적으로 /var/ossec 디렉토리에 생성
/etc/rc.d/init.d/ossec 생성 /etc/rc.local 또는

-What kind of installation do you want (server, agent, local or help)? local (로컬설치)
-Do you want to run the integrity check daemon? (y/n) [y]: y 무결성 체크 데몬을 실행할 것인지 설정
-Do you want to run the rootkit detection engine? (y/n) [y]: y 루트킷 검출 엔진을 실행할 것인지 설정
Running rootcheck (rootkit detection).
- Do you want to enable active response? (y/n) [y]: y 실시간 응답을 사용할 것인지설정
Active response enabled
- Do you want to enable the firewall-drop response? (y/n) [y]: y 방화벽이 중지되었을때 응답을 사용할 것이지 설정
- Do you want to add more IPs to the white list? (y/n)? [n]: n 화이트리스트 ip를 추가할 것인지 설정
시작 및 중지

[root@saintserver ossec-hids-1.5.1]# /var/ossec/bin/ossec-control start
Starting OSSEC HIDS v1.5.1 (by Third Brigade, Inc.)...
Started ossec-maild...
Started ossec-execd...
Started ossec-analysisd...
Started ossec-logcollector...
Started ossec-syscheckd...
Started ossec-monitord...
Completed.
[root@saintserver ossec-hids-1.5.1]# /var/ossec/bin/ossec-control stop
Killing ossec-monitord ..
Killing ossec-logcollector ..
Killing ossec-syscheckd ..
Killing ossec-analysisd ..
Killing ossec-maild ..
Killing ossec-execd ..

OSSEC HIDS v1.5.1 Stopped
관리자 메일로 다음과 같은 제목으로 메일이 수신 됩니다.
OSSEC HIDS OSSEC Notification - saintserver - Alert level 2 2008/08/21 04:063 KB
OSSEC HIDS OSSEC Notification - saintserver - Alert level 4 2008/08/20 17:002 KB
OSSEC HIDS OSSEC Notification - saintserver - Alert level 7 2008/08/20 17:043 KB

메일 내용은 다음과 같이 md5 checksum 무결성 검사 결과 까지 통보가 됩니다.

OSSEC HIDS Notification.
2008 Aug 20 17:04:00
Received From: saintserver->syscheck
Rule: 550 fired (level 7) -> "Integrity checksum changed."
Portion of the log(s):
Integrity checksum changed for: '/etc/blkid/blkid.tab.old'
Old md5sum was: 'd3ea2ce55790955279ef0ff6b5969fff'
New md5sum is : '38e36a46cb17d16b90d62ccec8569f91'
Old sha1sum was: 'e5f11684d5b49c049f92a1938a2993fe4851fb9d'
New sha1sum is : '308fd058b1615b7733b9fa0ecc33f2c57fc805c9'
--END OF NOTIFICATION

가끔씩 관리자 페이지를 확인하여 위와같은 에러를 확인해 보는것도 서버 관리에 도움이 될 것 같습니다.

List of Articles
번호	제목	글쓴이	날짜	조회 수
48	국가별로 접속 차단설정(geoip 설치)	ADMINPLAY	2009.05.10	10356
47	iptables-connlimit & geoip 설치설정	ADMINPLAY	2009.05.28	10345
46	보안서버로 redirection 설정 하기	ADMIN	2008.12.14	10275
45	iptables 리눅스? NETFILTER관련 1	l2zeo	2010.03.08	10130
44	apache 웹방화벽 모듈 modsecurity용 웹설정 툴, Remo	ADMINPLAY	2009.03.17	10037
43	해킹이 의심될 때 사용되는 명령어들	l2zeo	2010.03.08	9868
42	해킹툴이 사용하는 포트번호	ADMINPLAY	2009.05.22	9818
41	실전 테스트!! 스니퍼 공격	ADMINPLAY	2009.11.30	9774
40	Linux Security	ADMINPLAY	2009.07.18	9755
39	64bit 시스템에 ssl 설치 후 실행 시 X509_free 오류	ADMINPLAY	2009.07.19	9705
38	리눅스 - iptables NAT rule	ADMINPLAY	2010.03.24	9672
37	find 명령어 활용(보안관련)	ADMINPLAY	2009.08.08	9602
36	스위칭 허브 상에서의 sniffing 툴	ADMINPLAY	2009.09.08	9583
35	DOS Attack을 막기 위한 간단한 방법	ADMINPLAY	2009.05.22	9572
34	SSL 인증서문제	ADMINPLAY	2009.07.19	9480
33	apache 웹방화벽 modsecurity용 웹설정 툴, Remo	ADMINPLAY	2009.09.09	9452
32	rootkit 검색 프로그램 rkhunter-1.3.4.tar.gz	ADMINPLAY	2009.09.22	9449
31	mod_evasive를 이용한 웹Dos 공격을 막자	ADMINPLAY	2009.05.07	9429
30	mod_security 설치 2.X	ADMINPLAY	2009.06.04	9413
29	보안서버 SSL 구동시 비밀번호 자동 입력 및 부팅시 자동 ...	ADMINPLAY	2009.03.23	9318

번호

제목

글쓴이

로그인

ossec 로그 분석 툴 설치

단축키

단축키

Who's ADMINPLAY