Ossec踩坑记录
1.搭建OSSEC
参考教程https://www.cnblogs.com/zlslch/p/8512757.html
2.踩坑记录
笔者装的是目前最新的3.6.0版本,但是make不支持mysql,一直报错:make: *** 没有规则可以创建目标“setdb”。 停止。查阅文档发现从3.0.0版本开始,编译方式不一样。后来在github的iusse找到解决方案
#before compiling, input "DATABASE=mysql" in you bash command line
DATABASE=mysql
sh install.sh然后安装,瞬间新问题来了:
./os_regex/os_regex.h:19:19: 致命错误:pcre2.h:没有那个文件或目录
#include <pcre2.h>
^
编译中断。
make: *** [os_maild/maild.o] 错误 1
Error 0x5.
Building error. Unable to finish the installation.
错误代码 0x5.
编译错误. 不能完成安装.这个问题也是3.6.0才出现的新问题,解决方案有好几种,可以都试试,有的能行有的不能:
第一种:
wget https://ftp.pcre.org/pub/pcre/pcre2-10.32.tar.gz
tar xzf pcre2-10.32.tar.gz -C src/external第二种:
Ubuntu
sudo apt install libpcre2-dev zlib1g-dev
sudo PCRE2_SYSTEM=yes ./install.sh
centos
sudo yum install pcre2-devel
sudo PCRE2_SYSTEM=yes ./install.sh应该就能解决,然后来遇到新问题:
sendmail.o
os_maild/sendmail.c:12:19: 致命错误:event.h:没有那个文件或目录
#include <event.h>
^
编译中断。
make: *** [os_maild/sendmail.o] 错误 1
Error 0x5.
Building error. Unable to finish the installation.
这个问题需要安装以下三个库
libevdev-1.5.6-1.el7.x86_64
libevent-2.0.21-4.el7.x86_64
libevent-devel-2.0.21-4.el7.x86_64
然后可能遇到其他问题,比如:
DUSE_PCRE2_JIT -DLOCAL -Wall -Wextra -I./ -I./headers/ -c os_zlib/os_zlib.c -o os_zlib/os_zlib.o
os_zlib/os_zlib.c:13:18: fatal error: zlib.h: No such file or directory
#include <zlib.h>
^
compilation terminated.
make: *** [os_zlib/os_zlib.o] Error 1这个问题需要安装以下两个库
sudo yum install zlib-devel
sudo yum install openssl-devel
最后的最后:
不容易啊
/var/ossec/bin/manage_agents
/var/ossec/bin/manage_agents: error while loading shared libraries: libpcre2-8.so.0: cannot open shared object file: No such file or directory这个错继续来,还是pcre包的问题:
yum install pcre2-devel
好了,之前mysql的问题看来还没有解决
2020/08/07 19:51:53 ossec-dbd(5207): ERROR: OSSEC not compiled with support for 'mysql'.
2020/08/07 19:51:53 ossec-dbd(1202): ERROR: Configuration error at '/var/ossec/etc/ossec.conf'. Exiting.
ossec-dbd did not start correctly.这个问题好难,所以先给大家一个小礼物。。。如何卸载ossec:
Step 1
停止OSSEC进程
# service ossec stopStep 2
删除初始化配置文件
# rm -rf /etc/ossec-init.confStep 3
删除安装根目录以及自启动脚本
# rm -rf /var/ossec && rm /etc/init.d/*ossec*好,现在继续来想如何解决这个问题:
yum install gcc zlib-devel sendmail-devel pcre2-devel openssl-devel libevent-devel
yum install mysql-devel sqlite-devel
不确定是哪个库的问题,但是把这些都装一遍,问题解决。
好吧,我承认,只要把上述库装一遍,整个过程就丝滑顺畅,啥问题都没。。。我也装完才发现。。。弄了一下午,诶