OSSIM安装与驱动问题
大家在部署OSSIM系统常遇到的就是驱动安装的问题,或是网卡没驱动或是硬盘没驱动,其实在Linux手动安装驱动是一项必须掌握技能。在《Unix/Linux网络日志分析与流量监控分析》讲过OSSIM平台是一套基于Debian Linux的系统,但是IBM,HP,DELL等厂家的多数服务器对Debian Linux系统支持的并不太好,所以磁盘和网卡的驱动通常都是安装完系统之后再手动加载模块。
在安装之前我怎么知道目前这款机器是否能够安装上Debian呢? 有个办法,不用拆机箱,查看机器硬件的芯片,http://kmuto.jp/debian/hcl 大家访问这个网址就能获取到硬件驱动信息。
OSSIM中网卡设置注意事项
《Unix/Linux网络日志分析与流量监控》一书中告诉大家如何通过Alienvault-center方式修改,另外有关OSSIM中设置网卡过程中还需要注意3个问题:
1)为什么手工修改OSSIM主机地址,eth0网卡IP后其它服务启动错误?
当OSSIM Server安装完毕,通过命令行或配置文件修改命令的方式是错误的,
因为只修改网卡的IP地址,但其它进程依然在以前的地址上监听,所以系统就会报错。
例如,在安装服务器是配置IP为10.0.2.20,安装完毕发现IP不合适,又手工用ipconfig修改了eth0
ip地址,但是用是发现出现,Error!Unable to launch remote network scan: Can't connect with frameworkd
(10.0.2.20:40003)报错,就属于这种原因。
2).混杂模式的网卡需要设置静态IP地址吗?
首先需要知道网卡处于混杂模式(Promiscuous Mode)代表什么含义。混杂模式(Promiscuous
Mode)是指一台机器能够接收所有经过它的数据流,而不论其目的地址是否是它,但到了交换机的时代,就出现了新的问题,当拿到一台交换机,插上网线的这个端口,默认情况下并不能收集到所有的数据。这时,就算将网卡设置为混杂模式也无法监听到所有数据包(接到的只是给本身IP的数据和广播数据)。
那么在交换网络中实现数据监听的方式之一是设置交换机的SPAN。再回到我们的问题上来,给混杂模式的网卡设置IP就如同画蛇添足。
查看网卡是否支持混杂(promisc)模式
# ifconfig eth0
设置支持promisc
# ifconfig eth0 promisc
正常工作的网卡的正常工作模式为MULTICAST,混杂模式为:PROMISC
MULTICAST
取消网卡混扎模式
#ifconfig eth0 -promisc
3).完成OSSIM系统安装部署试验,最少需要几块网卡?
对于这个问题我们需要有上面解答的基础,在一块网卡的情况下,而且是流量不大(小于50%标准容量),完全可以模拟所有ossim试验,这款网卡指定IP是为了便于管理和收集日志,设置为混杂模式是为了监听网络数据包流量。在条件允许的情况下建议管理口和监听口分别由不同的网卡担任。
版权声明:本文为博主原创文章,未经博主允许不得转载。
分享到:
相关推荐
对于玩OSSIM的初学者或者中级水平的从业人员来说,都有一定必要性从中文看起,当然,最终还是英文的目标迈进,只是说,为了让自己更快速上手!!!
OSSIM即开源安全信息管理系统(OPEN SOURCE SECURITY INFORMATION MANAGEMENT)是目前一个非常流行和完整的开源安全架构体系。OSSIM通过将开源产品进行集成,从而提供一种能够实现安全监控功能的基础平台。它的目的...
企业在乎的是如何防患于未然,如何快速定位攻击,如何快速解决安全问题。OSSIM作为开源的安全信息管理平台,对于企业的需求来说毋庸置疑。OSSIM系列课程会从基础架构入手并进行原理剖析,再到搭建配置和高阶应用,以...
ossim遥感软件相关文档手册,有所有命令的详细解释,还有一些操作示例
ossim系统的中文化文档说明,,ossim系统的中文化文档说明
~~~对开源软件ossim agent的部署介绍,~对新手很有帮助
对于玩OSSIM的初学者或者中级水平的从业人员来说,都有一定必要性从中文看起,当然,最终还是英文的目标迈进,只是说,为了让自己更快速上手!
Ossim在企业网络安全领域中的应用,原创PPT
开源的OSSIM软件源码,供搞遥感、GIS的同志参考 既然大家觉得有用,就再贡献些ossim文档。http://download.csdn.net/source/2013603
主要包含资产管理、漏洞扫描、入侵检测、日志分析等几大核心功能,但由于其架构复杂,资料也比较少,导致OSSIM目前在国内应用比较少,现在把之前做技术分享时的PPT共享出来,希望可以帮到感兴趣的同学。
OSSIM 开源安全信息管理系统,对开源软件产品进行集成,提供一种能够实现监控功能的基础平台。
它不包含OSSIM插件和其它OSSIM相关代码,诸如Java的绑定( ),和GUI。 这些可用于单独克隆。 有关请参见github根目录。 快速链接: OSSIM命令行实用程序 Doxygen源代码文档 存储库之间的关系(获得什么) 主要...
os simulator for learning concepts
ossim原理初步总结.doc
编译好的OSSIM (win10),不包括ossim-plugins; 注:ossim-plugins暂未编译通过; 源码地址:https://github.com/ossimlabs/ossim
内容:Why OSSIM ,OSSIM Architecture,OSSIM Embedded Tools,OSSIM Collectors ,OSSIM Collector Anatomy,OSSIM Threat assessment ,OSSIM ALack analysis ,Why OSSEC ,OSSEC Architecture ....等
OSSIM是AlienVault的开源安全信息和事件管理(SIEM)产品,提供事件收集,规范化和关联。 要获得更多高级功能,AlienVault统一安全管理(USM)在OSSIM上具有以下附加功能:*日志管理*通过持续更新的预构建关联规则库...
要编译和安装此 OSSIM 插件,请使用以下说明: 1. Install and compile the latest OSSIM version 2. Open a terminal window in the OSSIM_DEV_HOME/ossim_plugins/opencv/3. In this folder delete the old ...
OS-SIM-(c)2003 ossim.net 关于奥西姆 我们的目标是获得一个可以工作的SIM(安全基础结构监视器),它能够集成,限定和关联高级别和低级别的安全性和网络事件,从而能够与最近出现在安全性市场上的商业产品竞争。...
关于图像腐蚀、图像膨胀、开运算和闭运算、以及数学形态学的其他运算