ossec的些个人初步概览.docxVIP

主要功能LOG分析完整性检查（文件 注册表）rootkit检测(windows暂时不支持)实时报警动态响应无代理监控可以不需要在被监控系统上安装代理，即可执行完整性检查（校验和报警）通过包括身份认证和公钥认证的方式的ssh来完成。支持路由器 防火墙 交换价 和linux/bsd系统。ossec-control enable agentlessossec/agentless/register_host.sh add ip pass 完成对目录的监控 以及对命令的监控完整性检测可以对目录进行实施监控# /var/ossec/bin/agent_control -r -a# /var/ossec/bin/agent_control -r -u agent_idrootkit检测扫描/dev目录查找异常。这个目录应该只有设备文件和makedev 脚本。很多rootkits使用这个目录隐藏文件，这和技术能发现非公有的rootkits.扫描整个系统文件查找不正常的文件和权限问题。Root用户拥有文件的写权限，给其它人是非常危险的。Rootkit发现会查找它们，隐藏的文件和目录出会被检查。查找存在的隐藏进程，我们使用获取SID并杀死SID检查，是否有任何PID被使用。如果PID被使用，但PS不能看到它，说明它是kernel-level级别的rootkit或者是特洛伊板本的PS.我们也会验证获取的SID和kill输出的是否相同。查找隐藏的端口。我们使用绑定端口的方式检查在系统中的每一个TCP、UDP端口。如果我们不能绑定这个端口，但是netstat不能显示它，很可能系统中装了roottkit.扫描在系统中的所有接口，找出启用杂乱模式的接口，如果IFCONFIG输出不能显示它，很可能系统中装了roottkit。实时响应action (delete or add) user name (or - if not set) src ip (or - if not set) Alert id (uniq for every alert) Rule id 6gent name/host/filenameossec.configcommand name /name executable.sh/executable timeout_allowedno/timeout_allowed expect //commandactive-response commandmail-test/command locationserver/location rules_id1002/rules_id/active-responsecommandnametest/nameexecutabletest.sh/executabletimeout_allowedno/timeout_allowedexpect/expect/command !-- Active Response Config --active-responsecommandtestcommandlocationserver/locationlevel5/level/active-response