Linux入侵检测系统
一、HIDS OSSEC简述
OSSEC是一个基于主机的入侵检测系统,它集HIDS、日志监控、安全事件管理于一体。
OSSEC支持的操作系统:Linux、Solaris、Windows和Mac OS X
OSSEC的功能:
-
文件完整性检查
例如,通过监控 /etc/passwd 和 /etc/shadow 文,可以知道是否有新增系统用户或用户账号改变情况
-
日志监控
例如,通过监控 /var/log/secure 日志,可以分析出是否有密码被尝试暴力**
-
RootKit检查
通过 /sin 、 /bin 等系统核心命令执行程序的规则检查,可以知道是否被替换成恶意程序,发现异常时可以报警处理
二、OSSEC部署
前提:设置两台Linux CentOS 7虚拟机,一台做OSSEC Server,IP为192.168.23.30,另一台做OSSEC Agent,IP为192.168.23.32
1、在Server和Agent上,对IDS进行安装
yum install -y gcc inotify-tools bind-utils
2、在Server和Agent上,下载OSSEC安装包到 /usr/src中
wget -O ossec.2.9.3.tar.gz https://github.com/ossec/ossec-hids/archive/2.9.3.tar.gz
3、在Server和Agent上,解压OSSEC安装包
tar -zxvf ossec.2.9.3.tar.gz
4、进入ossec-hids-2.9.3,并运行 ./install.sh
-
服务器
1)语言选择
2)继续配置,如果是单机安装,选择local
-
客户端
1)语言选择
5、安装完成后,先配置Server,再配置Agent,执行命令,进入配置选项
/var/ossec/bin/manage_agents
-
服务器
1)A表示添加agent
2)上述完成后,不要退出,执行 E 命令,生成**
3)执行 Q 命令,退出Server配置
-
客户端
1)配置Agent,将Server的秘钥放入
2)执行 Q 命令,退出Agent配置
6、在Server和Agent端启动OSSEC
-
服务器
1)启动
/var/ossec/bin/ossec-control start
2)查看启动状态
/var/ossec/bin/ossec-control status
-
客户端
1)创建文件
vi /var/ossec/etc/shared/agent.conf
2)编辑文件
<agent_config>
<localfile>
<location>/var/log/my.log</location>
<log_format>syslog</log_format>
</localfile>
</agent_config>
3)启动
/var/ossec/bin/ossec-control start
4)查看启动状态
/var/ossec/bin/ossec-control status
结束:当Agent异常报警时,则会通知到服务器,所有警告会存放于服务器 /var/ossec/logs/alerts 目录下