OSSEC-hids 主机入侵检测系统概述_ossec hids

随着国家对网络安全的重视，国内各个企业也开始在安全方面增加投入，我们公司也不例外。作为防守方，实时了解主机状态（主机文件是否被修改？是否有被入侵？等等）以及实时获取告警信息，是很重要的。及时反制入侵行为、及时修复系统，将入侵扼杀在摇篮阶段。于是引入了HIDS（主机入侵检测系统），网上关于HIDS的文章比较少、内容也不尽完善，下面是我自己在搭建HIDS时的记录。

常用的主机入侵检测系统

AIDE（Advanced Intrusion Detection Environment）：高级入侵检测环境，CIS

OSSEC：开源的、跨平台的主机入侵检测系统，官网：https://www.ossec.net/

等等

OSSEC

功能

1、文件完整性检查即文件篡改检查（syscheck）

2、日志监控

3、rootkit检测

4、主动响应：主动反制，匹配到规则后主动采取措施，如：检测到sshd日志存在多次失败登录后，将登录的源地址加入黑名单。

5、告警：通过配置实现邮件等方式的告警

安装

1、local：本地安装，只在一台设备安装，检测本台设备

2、server-agent：服务+代理模式安装

server安装在一台设备，agent安装在其他设备，agent收集各个设备的信息，然后发送给server，server统一进行分析、告警、主动响应、统一管理各个agent。

# 在server和agent上安装依赖 及 yum 远程库
 
yum install zlib-devel pcre2-devel make gcc zlib-devel pcre2-devel sqlite-devel openssl-devel libevent-devel
yum install mysql-devel
wget -q -O - https://updates.atomicorp.com/installers/atomic | sudo bash
# Server
sudo yum install ossec-hids-server
# Agent
sudo yum install ossec-hids-agent

3、agentless：无代理

和server-agent的方式类似，但是只有server没有agent即不需要在设备上安装agent，server通过ssh去进行监控和扫描各个设备。

本次实践，使用server-agent方式

组件

1、server