CentOS7下部署OSSEC开源主机入侵检测系统(HIDS)并接入到GrayLog

2022-12-04 2736

版权

本文内容由阿里云实名注册用户自发贡献，版权归原作者所有，阿里云开发者社区不拥有其著作权，亦不承担相应法律责任。具体规则请查看《阿里云开发者社区用户服务协议》和《阿里云开发者社区知识产权保护指引》。如果您发现本社区中有涉嫌抄袭的内容，填写侵权投诉表单进行举报，一经查实，本社区将立刻删除涉嫌侵权内容。

本文涉及的产品

RDS MySQL Serverless 基础系列，0.5-2RCU 50GB

云数据库 RDS MySQL，集群系列 2核4GB

RDS MySQL Serverless 高可用系列，价值2615元额度，1个月

简介： CentOS7下部署OSSEC开源主机入侵检测系统(HIDS)并接入到GrayLog

OSSEC 是一个可扩展、多平台、开源的基于主机的入侵检测系统 (HIDS)

OSSEC 拥有强大的关联和分析引擎，集成了日志分析、文件完整性监控、Windows 注册表监控、集中策略执行、rootkit 检测、实时警报和主动响应。它可以在大多数操作系统上运行，包括 Linux、OpenBSD、FreeBSD、MacOS、Solaris 和 Windows。

一、OSSEC Server服务端搭建

1、CentOS7操作系统基础环境配置

hostnamectl set-hostname ossecserver
systemctl restart rsyslog
sed -i 's/enable/disabled/g' /etc/selinux/config
setenforce 0

2、安装mariadb

yum install mariadb-server
systemctl start mariadb
systemctl enable mariadb
mysql_secure_installation 
netstat -anp | grep 3306

mysql -uroot -pMySQL_2022
create database ossec;
grant INSERT,SELECT,UPDATE,CREATE,DELETE,EXECUTE on ossec.* to ossec@localhost;
set password for ossec@localhost=PASSWORD('password');
flush privileges;

3、安装OSSEC-Server并导入MySQL schema

yum localinstall *.rpm

cd /usr/share/ossec/contrib/
 mysql -uroot -p ossec < mysql.schema

/var/ossec/bin/ossec-control enable database
cd /var/ossec/bin
./ossec-configure

4、配置文件中添加output数据库配置

cd /var/ossec/etc/
vim ossec-server.conf 
     <database_output>
        <hostname>127.0.0.1</hostname>
        <username>ossec</username>
        <password>password</password>
        <database>ossec</database>
        <type>mysql</type>
    </database_output>

cd /var/ossec/bin 
 ./ossec-control restart

5、添加客户端并生成Key

./manage_agents

二、OSSEC Agent客户端安装及配置

1、安装OSSEC-Agent

yum localinstall *.rpm

2、修改配置文件并启动客户端

cd /var/ossec/etc/
vim ossec-agent.conf
vim internal_options.conf 
cd /var/ossec/bin
touch /var/ossec/queue/rids/sender
./manage_agent 
./ossec-control restart

3、服务端确认Agent是否上线

/var/ossec/bin
./agent_control -lc

三、OSSEC-WUI Web服务启动

vi /etc/php.ini
systemctl restart httpd
systemctl enable httpd

四、配置CEF日志转发到Graylog

1、参考文章

https://github.com/Graylog2/graylog-guide-ossec

2、OSSEC-Server服务端添加syslog_output

vim /var/ossec/etc/ossec.conf
添加如下行
  <syslog_output>
    <server>192.168.31.232</server>
    <port>12000</port>
    <format>cef</format>
  </syslog_output>

/var/ossec/bin/ossec-control enable client-syslog
/var/ossec/bin/ossec-control restart

五、HIDS功能测试

1、例如暴力破解攻击测试

可以看到已经自动进行了封堵

2、系统完整性测试

六、Tips

1、验证MariaDB数据库是否正常对接

SELECT id,server_id,rule_id,level,timestamp,location_id,src_ip,dst_ip,src_port,dst_port,alerti

2、配置文件排错时参考如下链接

https://ossec-list.narkive.com/bJiYSQh2/errors-in-ossec-clients
https://www.ossec.net/docs/

CentOS7下部署OSSEC开源主机入侵检测系统(HIDS)并接入到GrayLog

一、OSSEC Server服务端搭建

1、CentOS7操作系统基础环境配置

2、安装mariadb

3、安装OSSEC-Server并导入MySQL schema

4、配置文件中添加output数据库配置

5、添加客户端并生成Key

二、OSSEC Agent客户端安装及配置

1、安装OSSEC-Agent

2、修改配置文件并启动客户端

3、服务端确认Agent是否上线

三、OSSEC-WUI Web服务启动

四、配置CEF日志转发到Graylog

1、参考文章

2、OSSEC-Server服务端添加syslog_output

五、HIDS功能测试

1、例如暴力破解攻击测试

2、系统完整性测试

六、Tips

1、验证MariaDB数据库是否正常对接

2、配置文件排错时参考如下链接

热门文章

最新文章

相关课程

相关电子书

相关实验场景

推荐镜像

热门

活动广场

任务中心

开发者评测

高校计划

乘风者计划

训练营

阿里云MVP

话题

直播

下载

镜像站

技术资料

插件

CentOS7下部署OSSEC开源主机入侵检测系统(HIDS)并接入到GrayLog

一、OSSEC Server服务端搭建

1、CentOS7操作系统基础环境配置

2、安装mariadb

3、安装OSSEC-Server并导入MySQL schema

4、配置文件中添加output数据库配置

5、添加客户端并生成Key

二、OSSEC Agent客户端安装及配置

1、安装OSSEC-Agent

2、修改配置文件并启动客户端

3、服务端确认Agent是否上线

三、OSSEC-WUI Web服务启动

四、配置CEF日志转发到Graylog

1、参考文章

2、OSSEC-Server服务端添加syslog_output

五、HIDS功能测试

1、例如暴力破解攻击测试

2、系统完整性测试

六、Tips

1、验证MariaDB数据库是否正常对接

2、配置文件排错时参考如下链接

热门文章

最新文章

相关课程

相关电子书

相关实验场景

推荐镜像