CentOS7下部署OSSEC开源主机入侵检测系统(HIDS)并接入到GrayLog

本文涉及的产品
RDS MySQL Serverless 基础系列,0.5-2RCU 50GB
云数据库 RDS MySQL,集群系列 2核4GB
推荐场景:
搭建个人博客
RDS MySQL Serverless 高可用系列,价值2615元额度,1个月
简介: CentOS7下部署OSSEC开源主机入侵检测系统(HIDS)并接入到GrayLog

OSSEC 是一个可扩展、多平台、开源的基于主机的入侵检测系统 (HIDS)

OSSEC 拥有强大的关联和分析引擎,集成了日志分析、文件完整性监控、Windows 注册表监控、集中策略执行、rootkit 检测、实时警报和主动响应。它可以在大多数操作系统上运行,包括 Linux、OpenBSD、FreeBSD、MacOS、Solaris 和 Windows。


640.png


640.jpg

一、OSSEC Server服务端搭建


1、CentOS7操作系统基础环境配置


hostnamectl set-hostname ossecserver
systemctl restart rsyslog
sed -i 's/enable/disabled/g' /etc/selinux/config
setenforce 0


640.png


2、安装mariadb


yum install mariadb-server
systemctl start mariadb
systemctl enable mariadb
mysql_secure_installation 
netstat -anp | grep 3306


640.png

640.png

640.png

mysql -uroot -pMySQL_2022
create database ossec;
grant INSERT,SELECT,UPDATE,CREATE,DELETE,EXECUTE on ossec.* to ossec@localhost;
set password for ossec@localhost=PASSWORD('password');
flush privileges;

640.png


3、安装OSSEC-Server并导入MySQL schema


yum localinstall *.rpm

640.png

640.png

cd /usr/share/ossec/contrib/
 mysql -uroot -p ossec < mysql.schema 

640.png

/var/ossec/bin/ossec-control enable database
cd /var/ossec/bin
./ossec-configure 

640.png

4、配置文件中添加output数据库配置


cd /var/ossec/etc/
vim ossec-server.conf 
     <database_output>
        <hostname>127.0.0.1</hostname>
        <username>ossec</username>
        <password>password</password>
        <database>ossec</database>
        <type>mysql</type>
    </database_output>


640.png


cd /var/ossec/bin 
 ./ossec-control restart

640.png640.png


5、添加客户端并生成Key


./manage_agents


640.png


二、OSSEC Agent客户端安装及配置


1、安装OSSEC-Agent


yum localinstall *.rpm


640.png


2、修改配置文件并启动客户端


cd /var/ossec/etc/
vim ossec-agent.conf
vim internal_options.conf 
cd /var/ossec/bin
touch /var/ossec/queue/rids/sender
./manage_agent 
./ossec-control restart


640.png

640.png

640.png

640.png


3、服务端确认Agent是否上线


/var/ossec/bin
./agent_control -lc



640.png


三、OSSEC-WUI Web服务启动


vi /etc/php.ini
systemctl restart httpd
systemctl enable httpd


640.png

640.png


640.png

640.png

640.png

640.png

四、配置CEF日志转发到Graylog


1、参考文章


https://github.com/Graylog2/graylog-guide-ossec

640.png



2、OSSEC-Server服务端添加syslog_output


vim /var/ossec/etc/ossec.conf
添加如下行
  <syslog_output>
    <server>192.168.31.232</server>
    <port>12000</port>
    <format>cef</format>
  </syslog_output>



640.png


/var/ossec/bin/ossec-control enable client-syslog
/var/ossec/bin/ossec-control restart

640.png

640.png



五、HIDS功能测试


1、例如暴力破解攻击测试


image.png


可以看到已经自动进行了封堵


640.png


2、系统完整性测试


640.png

640.png


六、Tips


1、验证MariaDB数据库是否正常对接


SELECT id,server_id,rule_id,level,timestamp,location_id,src_ip,dst_ip,src_port,dst_port,alerti


640.png


2、配置文件排错时参考如下链接


https://ossec-list.narkive.com/bJiYSQh2/errors-in-ossec-clients
https://www.ossec.net/docs/


相关文章
|
12天前
|
Web App开发 搜索推荐 Unix
Linux系统之MobaXterm远程连接centos的GNOME桌面环境
【10月更文挑战第21天】Linux系统之MobaXterm远程连接centos的GNOME桌面环境
111 4
Linux系统之MobaXterm远程连接centos的GNOME桌面环境
|
1天前
|
Linux 开发工具 Windows
CentOS8 64位系统 搭建内网穿透frp
【10月更文挑战第23天】本文介绍了如何在Linux系统上搭建frp内网穿透服务,并配置Windows客户端进行访问。首先,通过系统信息检查和软件下载,完成frp服务端的安装与配置。接着,在Windows客户端下载并配置frpc,实现通过域名访问内网地址。最后,通过创建systemd服务,实现frp服务的开机自动启动。
33 14
|
21天前
|
Linux 网络安全 数据安全/隐私保护
Linux系统之Centos7安装cockpit图形管理界面
【10月更文挑战第12天】Linux系统之Centos7安装cockpit图形管理界面
48 1
Linux系统之Centos7安装cockpit图形管理界面
|
3天前
|
存储 Linux Docker
centos系统清理docker日志文件
通过以上方法,可以有效清理和管理CentOS系统中的Docker日志文件,防止日志文件占用过多磁盘空间。选择合适的方法取决于具体的应用场景和需求,可以结合手动清理、logrotate和调整日志驱动等多种方式,确保系统的高效运行。
8 2
|
28天前
|
存储 安全 Linux
CentOS安装SeaweedFS
通过上述步骤,您应该能够在CentOS系统上成功安装并启动SeaweedFS。记住,根据实际部署规模和需求,可能还需要进一步调整配置参数和优化网络布局。SeaweedFS的灵活性和扩展性意味着随着使用深入,您可能需要探索更多高级配置和管理策略。
100 64
|
29天前
|
存储 安全 Linux
CentOS安装SeaweedFS
通过上述步骤,您应该能够在CentOS系统上成功安装并启动SeaweedFS。记住,根据实际部署规模和需求,可能还需要进一步调整配置参数和优化网络布局。SeaweedFS的灵活性和扩展性意味着随着使用深入,您可能需要探索更多高级配置和管理策略。
109 61
|
6天前
|
关系型数据库 MySQL Linux
在 CentOS 7 中通过编译源码方式安装 MySQL 数据库的详细步骤,并与使用 RPM 包安装进行了对比
本文介绍了在 CentOS 7 中通过编译源码方式安装 MySQL 数据库的详细步骤,并与使用 RPM 包安装进行了对比。通过具体案例,读者可以了解如何准备环境、下载源码、编译安装、配置服务及登录 MySQL。编译源码安装虽然复杂,但提供了更高的定制性和灵活性,适用于需要高度定制的场景。
19 3
|
7天前
|
关系型数据库 MySQL Linux
在 CentOS 7 中通过编译源码安装 MySQL 数据库的详细步骤,并与使用 RPM 包安装进行了对比。
本文介绍了在 CentOS 7 中通过编译源码安装 MySQL 数据库的详细步骤,并与使用 RPM 包安装进行了对比。内容涵盖准备工作、下载源码、编译安装、配置服务、登录设置及实践心得,帮助读者根据需求选择最适合的安装方法。
15 2
|
27天前
|
NoSQL 数据可视化 Linux
redis学习四、可视化操作工具链接 centos redis,付费Redis Desktop Manager和免费Another Redis DeskTop Manager下载、安装
本文介绍了Redis的两个可视化管理工具:付费的Redis Desktop Manager和免费的Another Redis DeskTop Manager,包括它们的下载、安装和使用方法,以及在使用Another Redis DeskTop Manager连接Redis时可能遇到的问题和解决方案。
86 1
redis学习四、可视化操作工具链接 centos redis,付费Redis Desktop Manager和免费Another Redis DeskTop Manager下载、安装
|
9天前
|
关系型数据库 MySQL Linux
在 CentOS 7 中通过编译源码方式安装 MySQL 数据库的详细步骤,包括准备工作、下载源码、编译安装、配置 MySQL 服务、登录设置等。
本文介绍了在 CentOS 7 中通过编译源码方式安装 MySQL 数据库的详细步骤,包括准备工作、下载源码、编译安装、配置 MySQL 服务、登录设置等。同时,文章还对比了编译源码安装与使用 RPM 包安装的优缺点,帮助读者根据需求选择最合适的方法。通过具体案例,展示了编译源码安装的灵活性和定制性。
45 2