开源安全运维平台OSSIM疑难解析:入门篇
上QQ阅读APP看书,第一时间看更新

学习之路中如何面对失败

与其他Linux系统一样,在学习OSSIM的过程中也会出现各种问题和故障。由于网上能直接找到的资料有限,所以很多新手都担心出现问题,在面对问题时都很局促,特别是当一个个问题接踵而来时会显得无可奈何。

学习OSSIM可以充分暴露你的“知识短板”,这体现在编程语言、数据库、操作系统、TCP/IP、网络安全的各个方面。不过通过解决OSSIM中遇到的问题,就会逐步弥补这些短板。学习就是一个发现问题与解决问题的过程,只要掌握了OSSIM的体系结构和运行原理,很多问题都可以迎刃而解。当然,前提是我们已经具备了下面所列的这些扎实的基本功:

〇 有一定的英文水平;

〇 了解网络原理尤其是TCP/IP的内容;

〇 Debian Linux系统和网络管理知识;

〇 MySQL数据库的基本操作;

〇 服务器、网络设备运维基础;

〇 系统攻击与应急响应相关的技能;

〇 IDS部署和SIEM/SOC应用基础。

要想成为OSSIM系统运维人员,面对问题时头脑中必须有一个清晰、明确的故障解决思路,一般有以下5个步骤。

〇 从报错提示挖掘幕后问题:OSSIM在Web UI中报错,主要内容都显示在屏幕上,只要能看懂错误提示(前提是能读懂英文),就能基本猜出发生问题的几种可能性。

〇 查看日志文件:Web前台报错,在后台日志会有详细的错误日志。系统日志在文件/var/log中,OSSIM日志在/var/log/ossim或/var/log/alienvault/中,结合两个目录下的日志内容就有可能发现问题。

〇 定位问题:这个过程相对复杂,查看Web里的提示和挖掘日志就能基本推测出现问题的几种途径。

〇 解决问题:抓住最有可能的途径进行排查,最后就能解决真正的问题。

〇 不要恋战:一些人特别执着,有着不解决问题誓不罢休的架势。当遇到一些OSSIM故障问题时,若在尝试各种思路后依然无法得到自己想要的结果,这时就不要再恋战了,而是跳过这个问题,继续前进。通过休息等方式来疏解一下心中的情绪,没准在过几天的实验结果中会联想到实验失败的教训,激发出新的灵感来解决以前的问题。

以上只是解决问题的基本步骤,实验失败是一段充满教育性的成长经历,没有失败积累经验,何谈成功呢?失败次数越多,你对它的理解就越深,离突破性成功就越近。但很多人却不这么看,他们在安装配置OSSIM的过程中,接连遇到一两个失败的经历就对这款工具没什么兴趣以至于最后放弃。

在安装阶段遇到的典型问题有下面这些。

〇 无法找到硬盘或者网卡驱动。这主要是硬件驱动问题,初学者只要选择VMware虚拟机进行安装就能解决。

〇 安装过程停滞。在OpenVAS解包安装时,界面上出现卡死现象(其实是后台更新脚本时间比较长,在安装界面表现为停滞状态)。很多人在这个环节直接将机器重启,认为自己的操作或者安装文件出了问题,其实只要耐心等待20分钟就能过去。

〇 系统引导应是短暂的,但有时候却长期停留在引导界面。其实这是假象,只要在控制台按下Ctrl+Alt+F3组合键就会出现命令行登录界面。

〇 安装完成,经过长时间的系统引导后,发现无法登录Web UI。

〇 登录Web UI后设置的admin密码不符合系统的复杂度要求,其实采用8位字母数字的组合就能快速解决这个问题。

除此之外,还有路由不通、图形无法显示、抓不到包、采集不到日志等许多故障。无论你是新手还是专家,只要坚持学习OSSIM,就会不断遇到各种问题。老问题解决了,换个环境,新问题还会不断发生。如果都能逐一化解,那么你的业务能力和分析问题、解决问题的能力会逐步增强。