一 简述及安装目的

1、实验简介在安全防御体系上，入侵检测系统（Intrusion Detection System）提供了必不可少的监控能力，在入侵过程中或入侵后的行为进行监控和报警。缺少有效的入侵检测系统会使入侵有足够的时间扩大入侵范围，为企业信息安全带来更大隐患。
2、 IDS依照预先设定的的安全策略，通过软件、硬件对网络、系统的运行状况进行监视，尽可能早的发现各种攻击企图，攻击行为或攻击结果，以保证网络系统资源的机密性、完整性、可用性

3、OSSEC是一个监控和控制系统的平台。它将HIDS（基于主机的入侵检测），日志监控，安全事件管理（SIM）/安全信息和事件管理（SIEM）的所有方面混合在一起，形成一个简单，强大且开源的解决方案。
4、它支持多种操作系统：Linux、Windows、MacOS、Solaris、HP-UX、AIX。属于企业安全之利器。
5、功能

功能	详述
文件完整性检查	检测任何文件，目录或注册表更改，它可能是攻击，也可能是员工的误用，甚至是管理员的错误
日志监控	对操作系统，应用程序和设备的日志进行收集，分析和关联，检测可疑事件（攻击，误用，错误等），例如当有人安装了应用程序或者更改了防火墙中的规则
Rootkit检测	犯罪黑客希望隐藏他们的行为，但是使用rootkit检测时，可以在以rootkit共有的方式修改系统时通知您
主动响应	主动响应允许OSSEC在触发指定警报时立即采取措施。这可以防止事件在管理员采取行动之前传播

二、 安装示例
1、设置两台Linux 虚拟机 CentOS7 -1 做OSSEC sever ，IP为192.168.53.86. CentOS7 -2 为Agent IP为 10.0.48.132
2、对sever 和 agent 进行IDS 安装
#安装gcc
yum install -y gcc inotify-tools bind-utils

#下载到ossec 到 usr/src
wget -O ossec.2.9.3.tar.gz https://github.com/ossec/ossec-hids/archive/2.9.3.tar.gz
#解压安装包
tar -zxvf ossec.2.9.3.tar.gz
#进入解压包 ossec-hids-2.9.3 运行 install.sh
./install.sh

#选择语言 cn


按enter 开始安装
在客户端完成同样操作
在安装类型选择 anget
添加 服务器IP 的IP 192.168.53.86

安装完成后 先进入sever 中进行配置，设置agent的ip
通过/var/ossec/bin/manage_agents 命令进入配置选项，A表示添加agent
设置agent 名字 IP ID y 保存

然后执行E命令 生成**对 复制出**对，将在agent中配置，按Q退出sever配置。

通过/var/ossec/bin/manage_agents 进入Agent的设置中， 选择 i 然后把**复制到 Agent中 q键退出。
进入agent创建agent.conf

cd /var/ossec/etc/shared
touch agent.conf
进入文件进行简单配置

配置完成后进行启动
/var/ossec/bin/ossec-control start

OSSEC server配置文件
根据实际情况设置相关值

全局变配置 配置
邮件 和日志报警选项
<email_alerts> 细粒度邮件配置文件
<database_output> 数据库输出选项
anget 有关配置文件选项
日志文件监控配置选项
恶意主机响应配置选项
该选项只允许在sever服务中配置
包含规则列表
rookit 发现和规则监控选项
主机响应配置选项
系统检查配置文件选项
配置完成后保存退出

启动服务器服务 和客户端服务
/var/ossec/bin/ossec-control start
查看服务器开启是否正常

/var/ossec/bin/ossec-control status