作为一个机器上的入侵检测系统,OSSEC 是一个开源的、跨平台的、功能强大的安全防护软件,有着很好的安全控制特性和易于扩展的插件,支持主机入侵检测、完整性检查、日志分析等多种方式,可以帮助用户及时发现和响应各种威胁,保证服务器的安全性。
一、OSSEC介绍
OSSEC起源于2004年,由Daniel Cid创建。 OSSEC发展至今已经很成熟,并且在服务器入侵检测和应用日志分析方面得到广泛应用。
OSSEC包含以下几个核心功能:
- 完整性检查
- 文件监视
- rootkit检测
- 特定日志分析
我们来看下如何使用OSSEC。
二、OSSECSGO
OSSECSGO 是 OSSEC 的一个 Web 界面,可以帮助管理员更方便地管理 OSSEC 工作。这里,我们来展示安装和配置 OSSECSGO 的过程,让您更好地使用 OSSECSGO。
- 下载安装OSSECSGO工具:
- 安装 OSSECSGO:
- 配置 OSSECSGO:
wget https://github.com/ossec/ossec-wui/archive/0.9.tar.gz
tar -xzvf 0.9.tar.gz
cd ossec-wui-0.9 && ls
sudo ./setup.sh
cd /var/ossec/ui/
sudo cp config-sample.php config.php
然后,用您喜欢的文本编辑器打开 configuration 文件,与 localhost 进行交互:
cd /var/ossec/ui/ && sudo vim config.php
把默认用户名和密码更改为您自己的,并保存文件。
现在,您可以使用以下 URL 访问 OSSECSGO:您的服务器 IP 或主机名/ui/。
三、ossecaille
ossecaille 是 OSSEC 的一个插件,可用于将警报发送到邮件、Slack、Telegram、IRC 等通信渠道。我们将要展示如何使用 ossecaille 插件在 OSSEC 内部设置警报。
首先,我们需要安装 ossecaille:
cd /var/ossec git clone https://github.com/dcoy-ossec/ossec-aille.git cd ossec-aille git checkout stable cp etc/decoders/decoder_ossec-aille.xml /var/ossec/etc/decoders/ cp etc/rules/rules_ossec-aille.xml /var/ossec/etc/rules/ /usr/local/bin/python2.7 setup.py build /usr/local/bin/python2.7 setup.py install
然后,我们需要配置 OSSEC 以允许使用 ossecaille:
sudo vim /var/ossec/etc/ossec.conf
您需要添加以下代码段以启用 ossecaille 插件:
rules_ossec-aille.xml decoder_ossec-aille.xml
现在,重新启动 OSSEC 和 ossec-webkit:
sudo service ossec-hids restart sudo service ossec-webkit restart
最后,您需要在 ossec.conf 中添加下面这行以配置 ossecaille:
you@example.com /usr/bin/python /var/ossec/bin/agentless.py %i 514'alert-email'
现在,ossec-aille 就被成功配置好了,当 OSSEC 检测到入侵尝试时,它将通过电子邮件将警报按需发送至目标邮箱。
四、ossec hids
OSSEC HIDS 的全称为 Operating System Security (OSSEC) Host Intrusion Detection System。这是一个 host-based intrusion detection system (HIDS),其目标是实时监控核心系统文件,并监测文件系统、注册表、进程、日志文件等,及时检测恶意或不正常的行为。
接下来,我们将介绍 OSSEC HIDS 的使用方法:
1. 下载 OSSEC HIDS:
wget https://github.com/ossec/ossec-hids/archive/3.6.0.tar.gz tar –xzvf 3.6.0.tar.gz
2. 安装 OSSEC HIDS:
cd ossec-hids-3.6.0 sudo ./install.sh
在初始化期间,将看到这个 URL:
http://localhost:55000
您可以在该 URL 上打开 OSSEC HIDS 管理者的 Web 界面并开始使用 OSSEC HIDS。
五、OS色彩搭配课百度网盘
OSSEC HIDS 有许多可自定义的颜色,可以更好的与您的个人和企业品牌保持一致性。并且,如果您不熟悉颜色的使用,可以查看教学视频或者颜色搭配课程。
课程和视频教程都可以从百度网盘免费下载。
1. 下载课程和视频教程:
wget https://pan.baidu.com/share/link?shareid=3110629971d69f81e991a9b1a9c0eaac&uk=2576078548
2. 解压:
unzip course.zip
3. 前往解压后的目录并打开文件
cd course open course.html
现在,您可以开始学习如何使用 OSSEC HIDS 更好地颜色搭配了。
六、OS色彩美学百度云
OSSEC HIDS 有许多不同的颜色配置,可以使您的服务器变得更加美观。如果您想寻找一些更好的颜色搭配,可以在百度云上查找。
1. 前往百度云并创建账号
https://pan.baidu.com
2. 搜索OSSEC HIDS颜色美学套件
搜索关键词-ossec_hids_color_suite
3. 下载并导入颜色配置
输入密码-colorconfig
现在您的 OSSEC HIDS 已经是最美丽的了。
七、OSSEC原理
OSSEC 基于主机的入侵检测系统,可监控文件系统、注册表、进程和日志文件等。它使用 hids.server 和 hids.client 架构,可以分配到各个客户端执行任务,并收集和奔溃它们反馈的结果。
OSSEC 的入侵检测框架基于以下几个核心原则:
- 使用 decoders 和 rules 解析和匹配数据。
- 使用 Active Response 反应框架对威胁进行响应。
- 使用 hids.server 和 hids.client 架构进行分发和处理。
- 使用多服务器分析方式来实现数据分析。
OSSEC 还使用插件架构来扩展其功能,这些插件可用于添加新的解码器、规则和快照作业,以及对日志文件进行分析。
有了这一阐释,我们可以更好地理解 OSSEC 的工作原理,以及如何更好地使用它来保护我们的服务器。