CentOS7下部署OSSEC开源主机入侵检测系统(HIDS)并接入到GrayLog

本文涉及的产品
云数据库 RDS MySQL,集群系列 2核4GB
推荐场景:
搭建个人博客
RDS MySQL Serverless 基础系列,0.5-2RCU 50GB
云数据库 RDS MySQL,高可用系列 2核4GB
简介: CentOS7下部署OSSEC开源主机入侵检测系统(HIDS)并接入到GrayLog

OSSEC 是一个可扩展、多平台、开源的基于主机的入侵检测系统 (HIDS)

OSSEC 拥有强大的关联和分析引擎,集成了日志分析、文件完整性监控、Windows 注册表监控、集中策略执行、rootkit 检测、实时警报和主动响应。它可以在大多数操作系统上运行,包括 Linux、OpenBSD、FreeBSD、MacOS、Solaris 和 Windows。


640.png


640.jpg

一、OSSEC Server服务端搭建


1、CentOS7操作系统基础环境配置


hostnamectl set-hostname ossecserver
systemctl restart rsyslog
sed -i 's/enable/disabled/g' /etc/selinux/config
setenforce 0


640.png


2、安装mariadb


yum install mariadb-server
systemctl start mariadb
systemctl enable mariadb
mysql_secure_installation 
netstat -anp | grep 3306


640.png

640.png

640.png

mysql -uroot -pMySQL_2022
create database ossec;
grant INSERT,SELECT,UPDATE,CREATE,DELETE,EXECUTE on ossec.* to ossec@localhost;
set password for ossec@localhost=PASSWORD('password');
flush privileges;

640.png


3、安装OSSEC-Server并导入MySQL schema


yum localinstall *.rpm

640.png

640.png

cd /usr/share/ossec/contrib/
 mysql -uroot -p ossec < mysql.schema 

640.png

/var/ossec/bin/ossec-control enable database
cd /var/ossec/bin
./ossec-configure 

640.png

4、配置文件中添加output数据库配置


cd /var/ossec/etc/
vim ossec-server.conf 
     <database_output>
        <hostname>127.0.0.1</hostname>
        <username>ossec</username>
        <password>password</password>
        <database>ossec</database>
        <type>mysql</type>
    </database_output>


640.png


cd /var/ossec/bin 
 ./ossec-control restart

640.png640.png


5、添加客户端并生成Key


./manage_agents


640.png


二、OSSEC Agent客户端安装及配置


1、安装OSSEC-Agent


yum localinstall *.rpm


640.png


2、修改配置文件并启动客户端


cd /var/ossec/etc/
vim ossec-agent.conf
vim internal_options.conf 
cd /var/ossec/bin
touch /var/ossec/queue/rids/sender
./manage_agent 
./ossec-control restart


640.png

640.png

640.png

640.png


3、服务端确认Agent是否上线


/var/ossec/bin
./agent_control -lc



640.png


三、OSSEC-WUI Web服务启动


vi /etc/php.ini
systemctl restart httpd
systemctl enable httpd


640.png

640.png


640.png

640.png

640.png

640.png

四、配置CEF日志转发到Graylog


1、参考文章


https://github.com/Graylog2/graylog-guide-ossec

640.png



2、OSSEC-Server服务端添加syslog_output


vim /var/ossec/etc/ossec.conf
添加如下行
  <syslog_output>
    <server>192.168.31.232</server>
    <port>12000</port>
    <format>cef</format>
  </syslog_output>



640.png


/var/ossec/bin/ossec-control enable client-syslog
/var/ossec/bin/ossec-control restart

640.png

640.png



五、HIDS功能测试


1、例如暴力破解攻击测试


image.png


可以看到已经自动进行了封堵


640.png


2、系统完整性测试


640.png

640.png


六、Tips


1、验证MariaDB数据库是否正常对接


SELECT id,server_id,rule_id,level,timestamp,location_id,src_ip,dst_ip,src_port,dst_port,alerti


640.png


2、配置文件排错时参考如下链接


https://ossec-list.narkive.com/bJiYSQh2/errors-in-ossec-clients
https://www.ossec.net/docs/


相关文章
|
28天前
|
Web App开发 搜索推荐 Unix
Linux系统之MobaXterm远程连接centos的GNOME桌面环境
【10月更文挑战第21天】Linux系统之MobaXterm远程连接centos的GNOME桌面环境
238 4
Linux系统之MobaXterm远程连接centos的GNOME桌面环境
|
17天前
|
Linux 开发工具 Windows
CentOS8 64位系统 搭建内网穿透frp
【10月更文挑战第23天】本文介绍了如何在Linux系统上搭建frp内网穿透服务,并配置Windows客户端进行访问。首先,通过系统信息检查和软件下载,完成frp服务端的安装与配置。接着,在Windows客户端下载并配置frpc,实现通过域名访问内网地址。最后,通过创建systemd服务,实现frp服务的开机自动启动。
53 14
|
1月前
|
Linux 网络安全 数据安全/隐私保护
Linux系统之Centos7安装cockpit图形管理界面
【10月更文挑战第12天】Linux系统之Centos7安装cockpit图形管理界面
90 1
Linux系统之Centos7安装cockpit图形管理界面
|
18天前
|
存储 Linux Docker
centos系统清理docker日志文件
通过以上方法,可以有效清理和管理CentOS系统中的Docker日志文件,防止日志文件占用过多磁盘空间。选择合适的方法取决于具体的应用场景和需求,可以结合手动清理、logrotate和调整日志驱动等多种方式,确保系统的高效运行。
19 2
|
Linux
百度搜索:蓝易云 ,Centos7系统wget 的安装与使用详细教程。
以上是在CentOS 7系统上安装和使用wget的详细教程。确保按照步骤操作,并根据您的需求进行必要的修改和调整。
183 0
|
关系型数据库 MySQL Linux
百度搜索:蓝易云【Centos7系统如何安装MySQL5.7数据库?】
安装 MySQL 5.7 数据库需要进行以下步骤:
120 0
|
6月前
|
关系型数据库 Linux Shell
Centos系统上安装PostgreSQL和常用PostgreSQL功能
Centos系统上安装PostgreSQL和常用PostgreSQL功能
|
Shell Linux Python
centos7系统 shell脚本安装python3 各版本
centos7系统 shell脚本安装python3 各版本
272 0
|
负载均衡 应用服务中间件 Linux
百度搜索:蓝易云【Centos7系统Nginx负载均衡如何安装和配置?】
在本文中,我们将介绍如何在CentOS 7系统中安装和配置Nginx负载均衡。本教程适用于初学者和经验丰富的用户。
169 0
|
安全 关系型数据库 MySQL
【数据库】centos 7系统,二进制方式安装mysql
【数据库】centos 7系统,二进制方式安装mysql
355 0
【数据库】centos 7系统,二进制方式安装mysql
下一篇
无影云桌面