ossec 文件完整性检查syscheck

发布于 2021-12-03  1.14k 次阅读

一、ossec 完整性检查说明

ossce文件完整性检查:

默认syschkeck是在 /var/ossec/etc/ossec.conf 配置的

 <syscheck>
    <!-- Frequency that syscheck is executed - default to every 22 hours -->
    <frequency>79200</frequency>

    <!-- Directories to check  (perform all possible verifications) -->
    <directories check_all="yes">/etc,/usr/bin,/usr/sbin</directories>
    <directories check_all="yes">/bin,/sbin</directories>

    <!-- Files/directories to ignore -->
    <ignore>/etc/mtab</ignore>
    <ignore>/etc/mnttab</ignore>
    <ignore>/etc/hosts.deny</ignore>
    <ignore>/etc/mail/statistics</ignore>
    <ignore>/etc/random-seed</ignore>
    <ignore>/etc/adjtime</ignore>
    <ignore>/etc/httpd/logs</ignore>
    <ignore>/etc/utmpx</ignore>
    <ignore>/etc/wtmpx</ignore>
    <ignore>/etc/cups/certs</ignore>
    <ignore>/etc/dumpdates</ignore>
    <ignore>/etc/svc/volatile</ignore>

    <!-- Windows files to ignore -->
    <ignore>C:\WINDOWS/System32/LogFiles</ignore>
    <ignore>C:\WINDOWS/Debug</ignore>
    <ignore>C:\WINDOWS/WindowsUpdate.log</ignore>
    <ignore>C:\WINDOWS/iis6.log</ignore>
    <ignore>C:\WINDOWS/system32/wbem/Logs</ignore>
    <ignore>C:\WINDOWS/system32/wbem/Repository</ignore>
    <ignore>C:\WINDOWS/Prefetch</ignore>
    <ignore>C:\WINDOWS/PCHEALTH/HELPCTR/DataColl</ignore>
    <ignore>C:\WINDOWS/SoftwareDistribution</ignore>
    <ignore>C:\WINDOWS/Temp</ignore>
    <ignore>C:\WINDOWS/system32/config</ignore>
    <ignore>C:\WINDOWS/system32/spool</ignore>
    <ignore>C:\WINDOWS/system32/CatRoot</ignore>
  </syscheck>

文件完整性检查的意义:所有的攻击无论如何都会在系统里留下一些痕迹,而这些痕迹表现在系统是对文件的:增删改查

我们在这个三个维度上,如果可以发现异常的文件变化,则可以帮助我们及时发现入侵行为。

Ossec agent周期性的对指定的目录和文件进行检查,当发现当前检查的结果与上一次记录md5值和sha1值不通时会产生对应的告警信息。
Ossec将文件检查的结果存放在/ossec/queue/syscheck这个文件数据库中
具体检查哪些东西(check_all=yes)
frequency 为检查频率 秒为单位
Check_sum(check sum, check shalsum,check md5sum),文件的哈希值
Check_size  //文件的大小
Check_owner //检查所选文件的所有者
Check_group //检查所选文件的目录所有者
Check perm //检查文件目录的unix权限
Restrict //检查文件名字中是否包含某个字符串
alert_new_files //默认为no,及新增加的文件是不检查的
-----------------------------------
####补充说明 ossec 还有实时监控 realtime = "yes",擦拭过后发现实时性也不强。
syscheck 为什么会报警我没有指定得位置

二、ossec syscheck 修改

syscheck 是根据 每个osser server agent 配置来的配置来的,每个客户端配置都是独立的

但在server 端的/var/ossec/etc/shared 下文件会同步到agent端

vim /var/ossec/etc/shared/ossec-agent.conf
<agent_config os="linux">
  <syscheck>
      <!-- Frequency that syscheck is executed ---14:15 default to every 30 s -->
     <frequency>30</frequency>
     <alert_new_files>yes</alert_new_files>
     <directories realtime="yes" check_all="yes">/root/syscheck</directories>
  </syscheck>
</agent_config>

该配置就是 检查/root/syscheck目录下文件的变化的

我们在server 端写好配置文件后通过在server端重新启动agent ossec 服务的操作,来快速同步配置
先通过 /var/ossec/bin/agent_control -lc 查询激活状态的ossce agent信息agentid
/var/ossec/etc/shared/agent_control -R 001 重启001 这台服务器的ossec 服务,同步时间比较慢。