随着国家对网络安全的重视,国内各个企业也开始在安全方面增加投入,我们公司也不例外。作为防守方,实时了解主机状态(主机文件是否被修改?是否有被入侵?等等)以及实时获取告警信息,是很重要的。及时反制入侵行为、及时修复系统,将入侵扼杀在摇篮阶段。于是引入了HIDS(主机入侵检测系统),网上关于HIDS的文章比较少、内容也不尽完善,下面是我自己在搭建HIDS时的记录。
常用的主机入侵检测系统
AIDE(Advanced Intrusion Detection Environment):高级入侵检测环境,CIS
OSSEC:开源的、跨平台的主机入侵检测系统,官网:https://www.ossec.net/
等等
OSSEC
功能
1、文件完整性检查即文件篡改检查(syscheck)
2、日志监控
3、rootkit检测
4、主动响应:主动反制,匹配到规则后主动采取措施,如:检测到sshd日志存在多次失败登录后,将登录的源地址加入黑名单。
5、告警:通过配置实现邮件等方式的告警
安装
1、local:本地安装,只在一台设备安装,检测本台设备
2、server-agent:服务+代理模式安装
server安装在一台设备,agent安装在其他设备,agent收集各个设备的信息,然后发送给server,server统一进行分析、告警、主动响应、统一管理各个agent。
# 在server和agent上安装依赖 及 yum 远程库
yum install zlib-devel pcre2-devel make gcc zlib-devel pcre2-devel sqlite-devel openssl-devel libevent-devel
yum install mysql-devel
wget -q -O - https://updates.atomicorp.com/installers/atomic | sudo bash
# Server
sudo yum install ossec-hids-server
# Agent
sudo yum install ossec-hids-agent
3、agentless:无代理
和server-agent的方式类似,但是只有server没有agent即不需要在设备上安装agent,server通过ssh去进行监控和扫描各个设备。
本次实践,使用server-agent方式
组件
1、