|
|
|
|
移动端

1.1.3 OSSIM的前世今生(2)

《开源安全运维平台--OSSIM最佳实践》第1章OSSIM架构与原理,本章从OSSIM起源讲起,介绍了目前运维人员现状,逐步谈到应用SIEM的必要性,进而介绍OSSIM架构与组成原理,另外还介绍了基于插件的日志采集思路,提出标准化安全事件的全新理念,详细分析了OSSIM的高可用架构与实现方法。本节为大家介绍OSSIM的前世今生。

作者:李晨光来源:清华大学出版社|2016-01-14 16:04

开发者盛宴来袭!7月28日51CTO首届开发者大赛决赛带来技术创新分享

1.1.3 OSSIM的前世今生(2)

2. 安装OpenSSH

我们利用OpenSSH保证远程维护的安全,OpenSSH是通过证书和会话数据加密来维护系统安全,它包括以下内容:

Ssh,可以实现两个主机之间的安全、加密通信。

Scp,用于实现两台主机之间安全的文件传输,但scp依赖于ssh的验证和加密手段。

Sshd,这是ssh的守护进程(服务进程)负责监听ssh客户端发来的链接请求。

Sftp,用来实现文件安全传输,它采用加密的ssh传输,可以完成普通FTP的所有功能。

Sftp-server,这是用来向sshd提供sftp协议信息的。

Ssh-agent,身份验证代理,这个工具室用来为RSA公共密钥证书保存私有密钥的。

Ssh-add,用于向身份验证代理ssh-agent中添加新的DSA密钥信息。

Ssh-keygen,用于为ssh生成身份验证密钥。

下载地址:http://www.openssh.com/portable.html

OpenSSH依赖于OpenSSL正常工作,它必须依靠OpenSSL加密库工作。截止2015年4月,最新的版本为OpenSSH-6.8,当下载文件时会发现类似openssh-XX.tar.gz.asc的文件,每个源代码版本的文件都对应有个asc文件(.sig文件作用和它类似),该asc文件主要是检验包的完整性,下面看openssh-6.6p1.tar.gz源码包asc的例子:

下载的软件包都需通过GnuPG签名,一旦服务器被攻陷,这些源代码就有可能被修改,若文件的任何地方被修改,则签名文件就会改变,所以为了保证安全,花些时间检查你所下载的软件包是否完整,很有必要。

按照下面的步骤进行预编译、编译和安装:

  1. #./configure;make;make install 

接下来开始产生DSA密钥

  1. #ssh-keygen 

一些Linux发行版可能会在连接到zlib压缩库的时候遇到错误,这时你需要先安装zlib库(下载地址http://www.zlib.net/

3.安装Libpcap

Snort传感器上必须安装捕包工具,而Snort自身并没有捕包工具,它需要外部程序库libpcap,负责从网卡捕包,它不仅是为Snort程序服务,而且是由底层操作系统提供给其他应用程序的捕获原始包工具。下载地址http://www.tcpdump.org/release/,最新版本libpcap-1.7.3.tar.gz。Libpcap主要缺点:

①数据包的传输过程中函数调用和内存复制次数过多

②revfrom是一个系统调用函数,每调用一次,它只向用户空间传递一个包,而系统调用实际上是一个中断,因此用传统的方法进行大流量捕包时,系统将会不断的进行中断处理和进程切换,那么最后导致CPU无暇顾及其他任务。

4.安装MySQL服务器和客户端

应用程序需要MySQL客户端和MySQL服务器建立远程连接。比如Barnyard这样的程序也需要向MySQL发送警报数据,因此必须安装MySQL客户端。,接下来我们开始安装MySQL服务器和客户端

a.下载

下载地址:http://dev.mysql.com/downloads/

最新版本为5.6.24,大家可以下载源码包编译。

b.配置

c.安全加固

d.优化

e.创建入侵数据库

这一步你需要创建一个用于存放事件信息的数据库,接着需要为Snort传感器创建一个用户来登录数据库。

5.安装NTP

网络时间协议NTP,用于在多台物理分散的设备之间同步时间,而同步时间是事件关联分析必备工作。

6.安装Snort和检测规则

对于规则安装此处省略详情见本书Snort规则讲解的内容,下载:https://www.snort.org/downloads/

喜欢的朋友可以添加我们的微信账号:

51CTO读书频道二维码


51CTO读书频道活动讨论群:342347198

【责任编辑:book TEL:(010)68476606】

回书目   上一节   下一节
点赞 0
分享:
大家都在看
猜你喜欢

读 书 +更多

网管员必读——超级网管经验谈

本书是一本以示例形式直接面向应用的网络管理图书。书中以大量示例和大量实用网络管理与故障排除经验介绍了当前网络管理工作的各主要方面。...

订阅51CTO邮刊

点击这里查看样刊

订阅51CTO邮刊