存档

文章标签 ‘active_responses’

OSSEC之自定义脚本推送

2012年2月26日 5 条评论

OSSEC是一款开源的多平台的入侵检测系统,可以运行于Windows, Linux, OpenBSD/FreeBSD, 以及 MacOS等操作系统中。包括了日志分析,全面检测,rook-kit检测。

阅读官方文档,我们知道OSSEC有一个功能为Active-responses,有了这玩意,我们的OSSEC就不仅仅是简单的入侵检测系统了,你还可以让它DIY成一个远程管理平台。我们可以制定一些自定义脚本,通过OSSEC Server 端执行特定命令调用此脚本,对agent(客户端)进行脚本远程推送。这样, 当有时我们运维有大量Windows服务器时,我们只需在OSSEC服务器端执行命令就能批量对资产进行操作.

大概搜索了下,网上很少有这方面的文档,今天周末在家研究了下,记录一下,主要记录的是Windows客户端的配置说明,Linux客户端配置原理相同。

OSSEC_Server端及Agent端的安装过程就略过了,具体可上官方网站查看:http://www.ossec.net

首先来看OSSEC_Server端的配置过程,

1、打开/var/ossec/etc/ossec.conf

在<ossec_config> </ossec_config>之间加入以下脚本,

<command>
<name>update-script</name>
<executable>update-script.cmd</executable>
<expect></expect>
</command> 阅读全文…

普人特福的博客cnzz&51la for wordpress,cnzz for wordpress,51la for wordpress