作為一個機器上的入侵檢測系統,OSSEC 是一個開源的、跨平台的、功能強大的安全防護軟體,有著很好的安全控制特性和易於擴展的插件,支持主機入侵檢測、完整性檢查、日誌分析等多種方式,可以幫助用戶及時發現和響應各種威脅,保證伺服器的安全性。
一、OSSEC介紹
OSSEC起源於2004年,由Daniel Cid創建。 OSSEC發展至今已經很成熟,並且在伺服器入侵檢測和應用日誌分析方面得到廣泛應用。
OSSEC包含以下幾個核心功能:
- 完整性檢查
- 文件監視
- rootkit檢測
- 特定日誌分析
我們來看下如何使用OSSEC。
二、OSSECSGO
OSSECSGO 是 OSSEC 的一個 Web 界面,可以幫助管理員更方便地管理 OSSEC 工作。這裡,我們來展示安裝和配置 OSSECSGO 的過程,讓您更好地使用 OSSECSGO。
- 下載安裝OSSECSGO工具:
- 安裝 OSSECSGO:
- 配置 OSSECSGO:
wget https://github.com/ossec/ossec-wui/archive/0.9.tar.gz tar -xzvf 0.9.tar.gz
cd ossec-wui-0.9 && ls sudo ./setup.sh
cd /var/ossec/ui/ sudo cp config-sample.php config.php
然後,用您喜歡的文本編輯器打開 configuration 文件,與 localhost 進行交互:
cd /var/ossec/ui/ && sudo vim config.php
把默認用戶名和密碼更改為您自己的,並保存文件。
現在,您可以使用以下 URL 訪問 OSSECSGO:您的伺服器 IP 或主機名/ui/。
三、ossecaille
ossecaille 是 OSSEC 的一個插件,可用於將警報發送到郵件、Slack、Telegram、IRC 等通信渠道。我們將要展示如何使用 ossecaille 插件在 OSSEC 內部設置警報。
首先,我們需要安裝 ossecaille:
cd /var/ossec git clone https://github.com/dcoy-ossec/ossec-aille.git cd ossec-aille git checkout stable cp etc/decoders/decoder_ossec-aille.xml /var/ossec/etc/decoders/ cp etc/rules/rules_ossec-aille.xml /var/ossec/etc/rules/ /usr/local/bin/python2.7 setup.py build /usr/local/bin/python2.7 setup.py install
然後,我們需要配置 OSSEC 以允許使用 ossecaille:
sudo vim /var/ossec/etc/ossec.conf
您需要添加以下代碼段以啟用 ossecaille 插件:
rules_ossec-aille.xml decoder_ossec-aille.xml
現在,重新啟動 OSSEC 和 ossec-webkit:
sudo service ossec-hids restart sudo service ossec-webkit restart
最後,您需要在 ossec.conf 中添加下面這行以配置 ossecaille:
you@example.com /usr/bin/python /var/ossec/bin/agentless.py %i 514'alert-email'
現在,ossec-aille 就被成功配置好了,當 OSSEC 檢測到入侵嘗試時,它將通過電子郵件將警報按需發送至目標郵箱。
四、ossec hids
OSSEC HIDS 的全稱為 Operating System Security (OSSEC) Host Intrusion Detection System。這是一個 host-based intrusion detection system (HIDS),其目標是實時監控核心系統文件,並監測文件系統、註冊表、進程、日誌文件等,及時檢測惡意或不正常的行為。
接下來,我們將介紹 OSSEC HIDS 的使用方法:
1. 下載 OSSEC HIDS:
wget https://github.com/ossec/ossec-hids/archive/3.6.0.tar.gz tar –xzvf 3.6.0.tar.gz
2. 安裝 OSSEC HIDS:
cd ossec-hids-3.6.0 sudo ./install.sh
在初始化期間,將看到這個 URL:
http://localhost:55000
您可以在該 URL 上打開 OSSEC HIDS 管理者的 Web 界面並開始使用 OSSEC HIDS。
五、OS色彩搭配課百度網盤
OSSEC HIDS 有許多可自定義的顏色,可以更好的與您的個人和企業品牌保持一致性。並且,如果您不熟悉顏色的使用,可以查看教學視頻或者顏色搭配課程。
課程和視頻教程都可以從百度網盤免費下載。
1. 下載課程和視頻教程:
wget https://pan.baidu.com/share/link?shareid=3110629971d69f81e991a9b1a9c0eaac&uk=2576078548
2. 解壓:
unzip course.zip
3. 前往解壓後的目錄並打開文件
cd course open course.html
現在,您可以開始學習如何使用 OSSEC HIDS 更好地顏色搭配了。
六、OS色彩美學百度雲
OSSEC HIDS 有許多不同的顏色配置,可以使您的伺服器變得更加美觀。如果您想尋找一些更好的顏色搭配,可以在百度雲上查找。
1. 前往百度雲並創建賬號
https://pan.baidu.com
2. 搜索OSSEC HIDS顏色美學套件
搜索關鍵詞-ossec_hids_color_suite
3. 下載並導入顏色配置
輸入密碼-colorconfig
現在您的 OSSEC HIDS 已經是最美麗的了。
七、OSSEC原理
OSSEC 基於主機的入侵檢測系統,可監控文件系統、註冊表、進程和日誌文件等。它使用 hids.server 和 hids.client 架構,可以分配到各個客戶端執行任務,並收集和奔潰它們反饋的結果。
OSSEC 的入侵檢測框架基於以下幾個核心原則:
- 使用 decoders 和 rules 解析和匹配數據。
- 使用 Active Response 反應框架對威脅進行響應。
- 使用 hids.server 和 hids.client 架構進行分發和處理。
- 使用多伺服器分析方式來實現數據分析。
OSSEC 還使用插件架構來擴展其功能,這些插件可用於添加新的解碼器、規則和快照作業,以及對日誌文件進行分析。
有了這一闡釋,我們可以更好地理解 OSSEC 的工作原理,以及如何更好地使用它來保護我們的伺服器。
原創文章,作者:UKMR,如若轉載,請註明出處:https://www.506064.com/zh-tw/n/131548.html