OSSEC 是一个功能强大的开源主机入侵检测系统(HIDS),可以帮助您实时监控文件完整性、分析日志、检测 rootkit,并在检测到可疑活动时自动响应。
1.安装 OSSEC
OSSEC 可以在多种操作系统上安装,如 Linux、Windows 和 macOS。
以下是 Linux 系统上的安装步骤(以 Ubuntu 为例):
1.1 安装依赖项
sudo apt-get update #线上环境不要用,将会改变代码运行环境(如php5.4升级成8.x)
sudo apt-get install build-essential inotify-tools zlib1g-dev libpcre2-dev libevent-dev libssl-dev
1.2 下载并安装 OSSEC
# 下载 OSSEC 源代码
wget https://github.com/ossec/ossec-hids/archive/master.zip
unzip master.zip
cd ossec-hids-master
# 安装 OSSEC
sudo ./install.sh
1.3 安装过程中配置
在安装过程中,您会被询问一些配置选项,如下所示:
- Installation type: 选择
server,如果您要在其他主机上也安装 OSSEC agent,可以选择agent。 - Email notifications: 配置是否启用电子邮件通知。
- Global configuration: 可以选择默认配置,稍后可以手动修改。
centos 的安装步骤:
1.1 安装依赖项
sudo yum update -y #线上环境不要用,将会改变代码运行环境(如php5.4升级成8.x)
sudo yum install gcc make inotify-tools zlib zlib-devel pcre2 pcre2-devel libevent libevent-devel openssl openssl-devel wget unzip -y
基本配置
安装完成后,OSSEC 的主要配置文件位于 /var/ossec/etc/ossec.conf。您可以编辑此文件以配置监控规则、通知设置、日志分析等。
sudo nano /var/ossec/etc/ossec.conf
2.1 添加文件完整性监控
在 <directories> 标签中,指定需要监控的目录。例如,监控 /etc 目录的配置如下:
<syscheck>
<directories check_all=”yes”>/etc</directories>
<directories>/usr/bin</directories>
</syscheck>
2.2 配置日志监控
您可以配置 OSSEC 监控特定的日志文件,添加如下配置以监控 /var/log/auth.log:
<localfile>
<log_format>syslog</log_format>
<location>/var/log/auth.log</location>
</localfile>
启动 OSSEC
安装和配置完成后,启动 OSSEC 服务:
sudo /var/ossec/bin/ossec-control start
查看监控报告
OSSEC 运行后,会生成监控报告。您可以通过以下命令查看:
# 查看实时警报
sudo /var/ossec/bin/ossec-logtest
# 查看 OSSEC 日志
sudo tail -f /var/ossec/logs/ossec.log
设置自动响应
OSSEC 支持自动响应功能(Active Response),您可以配置它在检测到特定事件时执行某些动作,比如阻止 IP 或重新启动服务。要启用自动响应,编辑 ossec.conf,添加以下配置:
<active-response>
<command>disable-account</command>
<location>any</location>
</active-response>
管理 OSSEC
6.1 添加和管理 Agent
如果您在多台服务器上运行 OSSEC,您可以在每台服务器上安装 Agent,并将其连接到主服务器。
在主服务器上添加 Agent:
sudo /var/ossec/bin/manage_agents
获取 Agent key,并在客户端安装 Agent 时使用此 key 进行注册。
升级和维护
定期检查并更新 OSSEC 以确保您使用的是最新版本。您可以从 GitHub 下载最新版本,并按安装步骤进行升级。