李晨光 了解OSSIM （http:/chenguang.blog.51cto.com/350944 /1332329） 傻瓜安装方法（ISO） 准备工作 -Debian Linux 6.0 自定义安装 我们分为以下8个步骤 0. 安装 ossim的准备工作 1. ossim-mysql 2. ossim-server 3. ossim-agent 4. ossim-framework 5. ossim-utils 6. ossim-contrib 7. Post OSSIM installation 8插件 A. Plugins 0. 0. 准备工作准备工作 0.1 0.1 安装安装DebianDebian GNU/Linux 5/6GNU/Linux 5/6 0.2 Apt 0.2 Apt 配置配置 编辑文件 /etc/apt/sources.list 修改源以适合Ossim安装 - /etc/apt/sources.list - deb http:/ftp.debian.org/debian/ testing main deb http:/secure-testing.debian.net/debian-secure-testing testing/security- updates main deb http:/www.ossim.net/download/ debian/ 0.30.3更新更新dpkgdpkg # apt-get update 新建文件 /etc/apt/preferences 内容如下： - /etc/apt/preferences - Package: * Pin: release o=ossim Pin-Priority: 995 0.4 0.4 性能性能 注意必须为2.6内核（3.0的测试不行）。下面以2.6-686为例 # apt-get update mysql create database ossim_acl; mysql create database snort; mysql exit; 在数据库中装载以下表： # zcat /usr/share/doc/ossim-mysql/contrib/create_mysql.sql.gz /usr/share/doc/ossim-mysql/contrib/ossim_config.sql.gz /usr/share/doc/ossim-mysql/contrib/ossim_data.sql.gz /usr/share/doc/ossim-mysql/contrib/realsecure.sql.gz | mysql -u root ossim -p # zcat /usr/share/doc/ossim- mysql/contrib/create_snort_tbls_mysql.sql.gz /usr/share/doc/ossim- mysql/contrib/create_acid_tbls_mysql.sql.gz | mysql -u root snort -p 主要是通过APT安装 # apt-get install ossim-server 注意，使用dpkg-reconfigure命令 (尽量别手动配 置 /etc/ossim/server/config.xml). 在agent上安装插件（插件内容见附件） 安装 ossim-agent: # apt# apt- -get install get install ossimossim- -agentagent 安装 phpgacl 包: # apt-get install phpgacl # apt-get install ossim-framework 或者 # apt-get install apache-ssl ossim-framework 或者 # apt-get install apache2 ossim-framework 如果打算更新ossim-framework配置文件就需要使用dpkg- reconfigure 、ossim-utils and dpkg-reconfigure 、ossim- framework命令 。(注意不要手动修改 /etc/ossim/framework/ossim.conf) 下面开始访问OSSIM框架的Web 界面啦 http:/yourhost/ossim/ 在菜单 Configuration-Main (可 以修改口令)。 5. 安装 OSSIM 应用程序 # apt-get install ossim-utils 6. 安装 OSSIM contrib (可选) 包含测试和开发工具等可选项。 7.安装ossim # apt-get install ossim 8. 其他（Nessus 集成OpenNMS 集成） A. Install Plugins A.1 Snort 安装snort: # apt-get install snort-mysql 安装完之后你可以通过/etc/snort/snort.conf进行配 置。 - /etc/snort/snort.conf - var HOME_NET 192.168.0.0/16 var EXTERNAL_NET !$HOME_NET # cd /etc/snort/rules/ 接着下载并安装免费的规则，http:/snort- inline.sourceforge.net/download.html # /usr/share/ossim/scripts/create_sidmap.pl /etc/snort/rules | mysql -u root ossim -p A.2 Ntop 安装Ntop: # apt-get install librrd0 ntop 为admin用户定义密码 # ntop -u ntop Please enter the password for the admin user: # C # /etc/init.d/ntop start 浏览器地址栏里输入http:/yourhostip:3000/ 如果 见到登录界面说明安装成功。接着在Admin-plugins 下激活插件，点击Host at Data Dump指定 主机过滤 的netmask。 A.3 A.3 NagiosNagios # apt-get install nagios-mysql 注意一下/usr/share/doc/Nagios- mysql/README.mysql文档介绍的内容。安装之 后你需要编辑/etc/Nagios/hosts.cfg配置文件。 A.4 A.4 其他插件其他插件 # apt-get install p0f arpwatch pads tcptrack 注意不在在系统启东市运行arpwatch, 可以让 Ossim-agent完成这项工作。 关于作者：开源爱好者著有Linux企业应用案例 精解及UNIX/Linux网络日志分析与流量监控 一书，详细介绍了OSSIM组成及应用。 博客：http:/chenguang.blog.51cto.com/