보안 · 3 min read · Oct 17, 2025

침입 탐지: Snort (IDS), OSSEC (HbIDS) 및 Prelude (HIDS) 우분투 거츠 기븐 - 3페이지

3부: OSSEC 설치 및 구성

우선 ossec 소스를 다운로드하고 압축을 풉니다:

cd /src  
wget http://www.ossec.net/files/ossec-hids-1.4.tar.gz  
tar xvzf ossec-hids-1.4.tar.gz

이제 다음을 수행하여 prelude 지원을 추가합니다:

cd ossec-hids-xx  
cd src  
make setprelude

그런 다음 Config.OS를 편집하고 모든 줄 앞에 -lgcc_s를 추가합니다.

-lpthread는 다음과 같이:

CPRELUDE=-DPRELUDE -lprelude -pthread -lgcc_s -L/usr/lib -lprelude -lgnutls -lgcrypt -lrt -ldl

이 HOWTO의 대부분은 OSSEC-HID 설치 매뉴얼에서 직접 가져온 것으로, 매우 쉽게 따라할 수 있는 매뉴얼입니다. 문제가 발생하면 매뉴얼을 먼저 확인하세요. 항상 최신 정보를 제공합니다.

이제 쉬운 부분입니다. Ossec은 모든 어려운 작업을 수행하는 설치 스크립트 install.sh를 제공합니다.

cd ..   
./install.sh

원하는 언어를 선택하고 엔터를 누르세요.

포르투갈어 설치를 원하시면 [br]를 선택하세요. 독일어 설치를 원하시면 [de]를 선택하세요.
영어 설치를 원하시면 [en]을 선택하세요. 이탈리아어 설치를 원하시면 [it]를 선택하세요.
폴란드어 설치를 원하시면 [pl]을 선택하세요. 터키어 설치를 원하시면 [tr]를 선택하세요.
(en/br/de/it/pl/tr) [en]: en

다음으로 C 컴파일러가 필요하다는 경고가 표시되고, 컴퓨터에 대한 일반 정보(커널 버전, 사용자 및 호스트)가 제공됩니다.

지시대로 엔터를 누르세요.

OSSEC HIDS 설치 프로세스를 시작하려고 합니다.
시스템에 C 컴파일러가 미리 설치되어 있어야 합니다.
질문이나 의견이 있으시면 [email protected] (또는 [email protected])로 이메일을 보내주세요.

  • 시스템: 리눅스 일부 정보
  • 사용자: root
  • 호스트: 귀하의 호스트 이름
    – 계속하려면 ENTER를 누르거나 중단하려면 Ctrl-C를 누르세요. –

다음으로 로컬 설치를 선택하세요:

1- 어떤 종류의 설치를 원하십니까 (서버, 에이전트, 로컬 또는 도움말)? local

이제 설치할 위치를 선택하세요. 기본값을 사용하거나 원하시면 변경하세요. 그러나 이 HOWTO는 기본 위치를 가정합니다.

OSSEC HIDS를 설치할 위치를 선택하세요 [/var/ossec]:

이제 알림 옵션을 선택하세요. 이 HOWTO에서 사용된 답변을 선택하거나 다른 것을 선택할 수 있습니다. 모든 항목에 대해 “Y”로 설정하는 것을 추천합니다. 활성 응답은 정말 유용합니다. 귀하의 답변과 시스템에서 발견된 특정 항목을 기반으로 일부 기본 구성 변수를 설정합니다.

3- OSSEC HIDS 구성하기.  
  
  3.1- 이메일 알림을 원하십니까? (y/n) [y]: y  
   - 귀하의 이메일 주소는 무엇입니까? [email protected]  
   - 귀하의 SMTP 서버 ip/호스트는 무엇입니까? 귀하의 smtp 서버 주소 (localhost)  
  
  3.2- 무결성 검사 데몬을 실행하시겠습니까? (y/n) [y]: y  
   
   - syscheck 실행 (무결성 검사 데몬).  
  
  3.3- 루트킷 탐지 엔진을 실행하시겠습니까? (y/n) [y]: y  
   
   - rootcheck 실행 (루트킷 탐지).  
  
  3.4- 활성 응답은 수신된 이벤트에 따라 특정 명령을 실행할 수 있게 해줍니다. 예를 들어, IP 주소를 차단하거나 특정 사용자에 대한 접근을 비활성화할 수 있습니다.  
       자세한 정보는:  
       http://www.ossec.net/en/manual.html#active-response  
  
   - 활성 응답을 활성화하시겠습니까? (y/n) [y]: y  
     
     - 활성 응답이 활성화되었습니다.  
  
   - 기본적으로 호스트 거부 및 방화벽 차단 응답을 활성화할 수 있습니다. 첫 번째는 /etc/hosts.deny에 호스트를 추가하고 두 번째는 iptables에서 호스트를 차단합니다 (리눅스인 경우) 또는 ipfilter에서 차단합니다 (Solaris, FreeBSD 또는 NetBSD인 경우).  
   - SSHD 무차별 대입 공격, 포트 스캔 및 기타 공격 형태를 차단하는 데 사용할 수 있습니다. 예를 들어 snort 이벤트에서 차단하도록 추가할 수도 있습니다.  
  
   - 방화벽 차단 응답을 활성화하시겠습니까? (y/n) [y]: y  
     
     - 방화벽 차단이 활성화되었습니다 (로컬) 레벨 >= 6  
  
   - 활성 응답을 위한 기본 화이트리스트:  
      - 192.168.2.1  
  
   - 화이트리스트에 더 많은 IP를 추가하시겠습니까? (y/n)? [n]: n  
  
  3.6- 다음 로그를 분석하기 위한 구성 설정:  
    -- /var/log/messages  
    -- /var/log/auth.log  
    -- /var/log/syslog  
    -- /var/log/mail.info  
    -- /var/log/apache2/error.log (apache 로그)  
    -- /var/log/apache2/access.log (apache 로그)  
  
 - 다른 파일을 모니터링하려면 ossec.conf를 변경하고 새로운 localfile 항목을 추가하세요.  
   구성에 대한 질문은 http://www.ossec.net를 방문하여 답변을 받을 수 있습니다.  
  
   --- 계속하려면 ENTER를 누르세요 ---

이제 모든 것을 컴파일합니다. 완료하는 데 너무 오랜 시간이 걸리지 않아야 합니다. 제 박스에서는 약 1-2분이 걸렸습니다. 완료되면 엔터를 눌러 마무리하세요.

  • 알 수 없는 시스템. init 스크립트가 추가되지 않았습니다.
  • 구성 완료.
  • OSSEC HIDS 시작: /var/ossec/bin/ossec-control start
  • OSSEC HIDS 중지: /var/ossec/bin/ossec-control stop
  • 구성은 /var/ossec/etc/ossec.conf에서 볼 수 있거나 수정할 수 있습니다.
    OSSEC HIDS를 사용해 주셔서 감사합니다. 질문, 제안 또는 버그를 발견하신 경우 [email protected] 또는 [email protected] (http://mailman.underlinux.com.br/mailman/listinfo/ossec-list)로 연락해 주세요. 자세한 정보는 http://www.ossec.net에서 확인할 수 있습니다.
    — 마무리하려면 ENTER를 누르세요 (아래에 더 많은 정보가 있을 수 있습니다). —

안타깝게도 우분투를 감지하지 못하므로 init 스크립트를 생성하지 않습니다. 이것은 간단하게 처리할 수 있습니다. (네, 기본적입니다. 개선하고 싶으시면 자유롭게 하세요) 다음을 /etc/init.d/ossec에 복사하고 붙여넣으세요:

#!/bin/sh
 
case "$1" in
start)
  /var/ossec/bin/ossec-control start
;;
stop)
  /var/ossec/bin/ossec-control stop
;;
restart)
  $0 stop && sleep 3
  $0 start
;;
reload)
  $0 stop
  $0 start
;;
*)
echo "Usage: $0 {start|stop|restart|reload}"
exit 1
esac

이제 실행 가능하게 만드세요:

chmod +x /etc/init.d/ossec

부팅 시 시작되도록 실행 수준에 추가하세요:

update-rc.d ossec defaults

ossec.conf

/var/ossec/etc/ossec.conf

ossec

prelude:


 ...
yes

마지막으로 preludeossec를 에이전트로 추가합니다:

prelude-adduser registration-server prelude-manager

관리 서버에서 다음을 수행합니다:

prelude-adduser register OSSEC "idmef:w" localhost --uid ossec --gid ossec

참고: 센서 이름은 대문자로 작성해야 합니다 > OSSEC.

OSSEC로 구동되는 init.d 스크립트로 ossec을 시작하세요 (1.4 버전은 이제 우분투/데비안 OS를 감지하고 init 스크립트가 작동합니다!) 또는 RShadow 스크립트.

이 메시지가 보이면 정상적으로 작동하고 있는 것입니다.

OSSEC HIDS v1.4 시작 중 (Daniel B. Cid)…
127.0.0.1:4690 프리로드 매니저 서버에 연결 중.
TLS 인증이 프리로드 매니저와 성공적으로 이루어졌습니다.

이제 prewikka를 설치한 URL로 가서 사용자 admin과 비밀번호 admin으로 로그인하세요. 무단 접근을 방지하기 위해 이 비밀번호를 즉시 변경하세요.

Share: X/Twitter LinkedIn
#보안

새 게시물을 받은 편지함에서 받기

스팸은 없습니다. 언제든지 구독 해지 가능합니다.