|
|
|
|
公众号矩阵

Q060-Q063

作者:李晨光来源:人民邮电出版社|2019-08-27 09:44

 Q060 分布式环境下OSSECAgent是如何通信的?

OSSIM中,由于以各个网段的传感器为单位来管理监控网段内的所有Agent,所以在分布式OSSIM环境中安装、使用Agent时需要格外注意传感器所监管的各个Agent。一个简单的分布式环境如图2-5所示。

2-5  分布式OSSEC/Agent通信流量

在图2-5中,传感器1这台主机安装了OSSEC Agent,同时还统一管理监控网段内所有 WindowsLinuxOSSEC Agent的配置文件。

 Q061 在Linux环境中如何安装OSSEC Agent

由于Linux环境不支持批量部署OSSEC Agent,所以只能手动安装。手动安装OSSEC Agent时,应首先下载源码包(最新版本为2.9),然后解压Agent压缩包并开始安装。

#./install.sh      //开始安装

按下回车键之后出现下列提示信息:

m     开始安装OSSEC HIDS,请确认在机器上已经正确安装了C编译器并选择Agent

m     接下来初始化安装环境。

OSSEC HIDS将安装在/var/ossec下。

m     配置OSSEC HIDS

由于编译过程较长,此处将输出过程省略。

当出现下列提示时表示安装完成。

m     添加Agent信息。

下面开始向Server添加Agent。首先在Web下添加Agent,生成key,如图2-6所示。

2-6  生成ossec_agent安装key

然后在命令行下执行以下操作。

输入命令#/var/ossec/bin/manage_agents

按下回车键后输入代理名称。注意,只能输入英文,且多个代理之间不能重名。然后输入代理的IP地址192.168.109.143。在遇到An ID for the new agent[002]: 提示时直接按回车键,最后输入字母y确认添加。

接下来程序会进入到下一个界面,此时输入字母E以导入OSSEC Agent key,开始安装OSSEC HIDS

#/var/ossec/bin/ossec-control start

 

 Q062 Linux下安装OSSEC Agent报错时应如何解决?

这里采用的Linux系统为CentOS 6.8,下载的OSSEC安装包版本为2.9.3,在安装OSSEC Agent时可能遇到图2-7所示的报错。

2-7  安装OSSEC Agent报错细节

根据报错信息可知,应该没有安装OpenSSL包。安装OSSEC时需要首先安装编译器,然后安装OpenSSL。在客户端的操作如下。

#yum –y install gcc openssl

OSSEC Agent配置文件位于/var/ossec/etc/ossec.conf中。

 Q063 Nmap扫描和OpenVAS扫描有什么区别?

OpenVAS开放式漏洞评估系统)用于漏洞扫描,而Nmap主要以端口和服务扫描为主,它支持漏洞脚本,但漏洞扫描很弱。Nmap主要用于主机发现、端口发现等基本信息的搜集,其中包括主机活动状态和主机端口。NmapOSSIM资产发现和管理中起到了很大的作用,图2-8中定义了Nmap路径来发现网络资产。

2-8  OSSIM中定义Nmap命令

人们常常会把NmapOpenVAS的功能混淆。从范围上看,Nmap主要用于大范围、快速扫描,最大特点是速度快,但没有漏洞库;而OpenVAS适用于少量多次地对服务器进行漏洞扫描,它默认带有4万多个漏洞库脚本。它们虽然都属于扫描工具,但作用不同。Nmap的主要任务是端口扫描,属于轻量级扫描器,用于前期侦查。OpenVAS是一个客户端/服务器架构的工具,常用它对目标主机进行安全评估。

有关Nmap扫描的类定义在/usr/share/ossim/include/classes/scan.inc文件中可找到。在同一目录下还有几个关键类的定义(例如remote_scan.incasset_group_scan.incnet_greoup_scan.inc),这些类定义都在后台调用Nmap命令进行扫描。

【责任编辑:renliping TEL:(010)68476606】

回书目      
点赞 0
分享:
大家都在看
猜你喜欢

订阅专栏+更多

这就是5G

这就是5G

5G那些事儿
共15章 | armmay

111人订阅学习

16招轻松掌握PPT技巧

16招轻松掌握PPT技巧

GET职场加薪技能
共16章 | 晒书包

371人订阅学习

20个局域网建设改造案例

20个局域网建设改造案例

网络搭建技巧
共20章 | 捷哥CCIE

753人订阅学习

读 书 +更多

设计模式:可复用面向对象软件的基础(双语版)

《设计模式:可复用面向对象软件的基础》(双语版)是引导读者走入软件设计迷宫的指路明灯,凝聚了软件开发界几十年的设计经验。四位顶尖的...

订阅51CTO邮刊

点击这里查看样刊

订阅51CTO邮刊

51CTO服务号

51CTO官微