开源入侵检测系统OSSEC的搭建及使用

最新推荐文章于 2025-07-10 11:17:15 发布
最新推荐文章于 2025-07-10 11:17:15 发布
阅读量4.8k 收藏 9
点赞数 1
CC 4.0 BY-SA版权
分类专栏: 安全开发
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/u013175604/article/details/80960593

环境centos7

官网

http://www.ossec.net/

Linux下载地址

https://github.com/ossec/ossechids/archive/2.9.4.tar.gz

wget https://github.com/ossec/ossec-hids/archive/2.9.4.tar.gz

tar -xzvf 2.9.4.tar.gz

cd ossec-hids-2.9.4

./install.sh

选择语言 cn

确认安装好了gcc编译器按enter
选择单机模式,local

root@vultr:~/ossec-hids-2.9.4# ./install.sh

** Para instalação em português, escolha [br].

** 要使用中文进行安装, 请选择 [cn].

** Fur eine deutsche Installation wohlen Sie [de].

** Για εγκατάσταση στα Ελληνικά, επιλέξτε [el].

** For installation in English, choose [en].

** Para instalar en Español , eliga [es].

** Pour une installation en français, choisissez [fr]

** A Magyar nyelvű telepítéshez válassza [hu].

** Per l’installazione in Italiano, scegli [it].

** 日本語でインストールします.選択して下さい.[jp].

** Voor installatie in het Nederlands, kies [nl].

** Aby instalować w języku Polskim, wybierz [pl].

** Для инструкций по установке на русском ,введите [ru].

** Za instalaciju na srpskom, izaberi [sr].

** Türkçe kurulum için seçin [tr].

(en/br/cn/de/el/es/fr/hu/it/jp/nl/pl/ru/sr/tr) [en]: cn

OSSEC HIDS v2.9.4 安装脚本 - http://www.ossec.net

您将开始 OSSEC HIDS 的安装.

请确认在您的机器上已经正确安装了 C 编译器.

  • 系统类型: Linux vultr.guest 3.13.0-149-generic

  • 用户: root

  • 主机: vultr.guest

    – 按 ENTER 继续或 Ctrl-C 退出. –

1- 您希望哪一种安装 (server, agent, local or help)? local

  • 选择了 Local 类型的安装.

2- 正在初始化安装环境.

  • 请选择 OSSEC HIDS 的安装路径 [/var/ossec]:

    • OSSEC HIDS 将安装在 /var/ossec .

3- 正在配置 OSSEC HIDS.

3.1- 您希望收到e-mail告警吗? (y/n) [y]: n

— Email告警没有启用 .

3.2- 您希望运行系统完整性检测模块吗? (y/n) [y]: y

  • 系统完整性检测模块将被部署.

    3.3- 您希望运行 rootkit检测吗? (y/n) [y]: y

  • rootkit检测将被部署.

strings: ‘/usr/bin/mail’: No such file

3.4- 关联响应允许您在分析已接收事件的基础上执行一个 

   已定义的命令. 

   例如,你可以阻止某个IP地址的访问或禁止某个用户的访问权限. 

   更多的信息,您可以访问: 

   http://www.ossec.net/en/manual.html#active-response
  • 您希望开启联动(active response)功能吗? (y/n) [y]:

接下来,全部选择默认

系统完整性检测模块将被部署.

3.3- 您希望运行 rootkit检测吗? (y/n) [y]: y

  • rootkit检测将被部署.

strings: ‘/usr/bin/mail’: No such file

3.4- 关联响应允许您在分析已接收事件的基础上执行一个 

   已定义的命令. 

   例如,你可以阻止某个IP地址的访问或禁止某个用户的访问权限. 

   更多的信息,您可以访问: 

   http://www.ossec.net/en/manual.html#active-response

  • 您希望开启联动(active response)功能吗? (y/n) [y]: y

    • 关联响应已开启

  • 默认情况下, 我们开启了主机拒绝和防火墙拒绝两种响应.

    第一种情况将添加一个主机到 /etc/hosts.deny.

    第二种情况将在iptables(linux)或ipfilter(Solaris,

    FreeBSD 或 NetBSD)中拒绝该主机的访问.

  • 该功能可以用以阻止 SSHD 暴力攻击, 端口扫描和其他

    一些形式的攻击. 同样你也可以将他们添加到其他地方,

    例如将他们添加为 snort 的事件.

  • 您希望开启防火墙联动(firewall-drop)功能吗? (y/n) [y]: y

    • 防火墙联动(firewall-drop)当事件级别 >= 6 时被启动

  • 联动功能默认的白名单是:

    • 108.61.10.10

  • 您希望添加更多的IP到白名单吗? (y/n)? [n]: n

    3.6- 设置配置文件以分析一下日志:

    – /var/log/auth.log

    – /var/log/syslog

    – /var/log/dpkg.log

    – /var/log/snort/alert (snort-full file)

    – /var/log/nginx/access.log (apache log)

    – /var/log/nginx/error.log (apache log)

-如果你希望监控其他文件, 只需要在配置文件ossec.conf中

添加新的一项.

任何关于配置的疑问您都可以在 http://www.ossec.net 找到答案.

— 按 ENTER 以继续 —

然后安装成功

Ossec常用文件

报警日志

/var/ossec/logs/alerts

里面的alerts.log

就是检测到的入侵行为的告警日志

动态响应报警日志

/var/ossec/logs/active-responses.log

核心配置文件为:

/root/ossec-hids-2.9.4/etc/ossec.conf

文件结构为:

[root@vultr logs]# cat /root/ossec-hids-2.9.4/etc/ossec.conf 

<email_notification>yes</email_notification> 

<email_to>daniel.cid@example.com</email_to> 

<smtp_server>smtp.example.com.</smtp_server> 

<email_from>ossecm@ossec.example.com.</email_from> 

<!-- <email_reply_to>replyto@ossec.example.com.</email_reply_to> --> 

<picviz_output>no</picviz_output>

#这些就是各类规则 

<include>rules_config.xml</include> 

<include>sshd_rules.xml</include> 

<include>syslog_rules.xml</include> 

<include>pix_rules.xml</include> 

<include>named_rules.xml</include> 

<include>pure-ftpd_rules.xml</include> 

<include>proftpd_rules.xml</include> 

<include>web_rules.xml</include>
最低0.47元/天 解锁文章

200万优质内容无限畅学
OSSEC安装与搭建
enjoy
05-24 5491
开源入侵检测系统OSSEC搭建之一:服务端安装 OSSEC是一款开源的多平台的入侵检测系统,可以运行于Windows, Linux, OpenBSD/FreeBSD, 以及 MacOS等操作系统中。主要功能有日志分析、完整性检查、rootkit检测、基于时间的警报和主动响应。 除了具有入侵检测系统功能外,它还一般被用在SEM/SIM(安全事件管理(SEM: Security Event Ma...
信息安全体系建设☞开源入侵检测系统HIDS
infosec的博客
10-23 3035
在之前的博文中介绍了NIDS, IDS就像是我们在网络的关键节点上假设的一双双水汪汪的大眼睛。IDS能帮我们深度检测流过的数据包,针对数据包中的特征来触发告警,并记录日志。同时我们也可以根据资产的重要程度,来实施的捕捉流量包,在帮助我们分析网络流量的同时, 也可以配合合规部门来检查内部人员的网络行为。在NIDS博文里面, 我重点以Snort为例子来介绍NIDS如何在网络中玩耍。我们可以在对Snort的深度理解之后,使用好这个工具。 当我们在使用NIDS的时候还会面临几个解决不了的问题,在这些NIDS鞭长莫及
AIEngine 下一代可编程的开源网络入侵检测系统
cy15625010944的博客
01-12 4223
概述 AIEngine是下一代交互式/可编程Python/Ruby/Java/Lua和Go网络入侵检测系统引擎,具有学习能力 无需任何人工干预、DNS 域分类、垃圾邮件检测、网络收集器、网络取证等等。 AIEngine 还帮助网络/安全专业人员识别流量并开发 用于在 NIDS、防火墙、流量分类器等上使用它们的签名。 主要功能: 支持在引擎运行时与用户交互/编程。 支持 PCRE JIT 进行正则表达式匹配。 支持正则表达式图(复杂的检测模式)。 支持六种类型的 NetworkStacks(lan、mobi
开源入侵防御系统——CrowdSec
最新发布
qq_31292011的博客
07-10 1406
CrowdSec是一款现代化、开源、基于行为的入侵防御系统(IDS/IPS),专为保护服务器、服务、容器、云原生应用而设计。它通过分析日志检测可疑行为,并可基于社区协作共享恶意 IP 黑名单,从而实现分布式防御。其理念源于 Fail2Ban,但 CrowdSec 更现代、更可扩展,具备强大的可视化和自动化能力。
ossec-hids:OSSEC是基于开源主机的入侵检测系统,它执行日志分析,文件完整性检查,策略监视,rootkit检测,实时警报和主动响应
02-05
OSSEC v3.6.0版权所有(C)2019趋势科技公司。 有关OSSEC的信息 OSSEC是监视和控制系统的完整平台。 它在一个简单,功能强大且开源的解决方案中将HIDS(基于主机的入侵检测),日志监视和SIM / SIEM的所有方面结合在一起。 访问我们的网站以获取最新信息。 最新发行 ossec网站上提供了当前的稳定版本。 可以从以下位置版本: 发行文档可在以下位置获得: 发展历程 开发版本托管在GitHub上,仅是一个简单的git克隆。 屏幕截图 文件完整性监控 攻击检测 帮助支持 加入我们slack,ossec.slack.com:邀请到 在Discord上加入我们:
【1. 概述】开源入侵检测系统OSSEC详解
胡杨林
05-19 5170
入侵检测系统(IDS)是用于检测服务器安全的防护系统,通常可分为基于主机(host-based)和基于网络(network-based)两大类。基于主机的入侵检测系统,顾名思义,需要在被监控的服务器上安装agent客户端,agent通过分析本地的日志、端口、进程等信息发现安全漏洞,然后将分析结果通过到中央数据库,该类型的入侵检测系统比较适合大量的服务器监控。而基于网络的入侵检测系统,则主要通过旁路的方式,对流量进行采样分析,从而发现其中的异常,由于一般机房的流量很大,所以很难进行全镜像流量分析,一般都是进行
开源入侵检测系统-Snort
LISTONE的个人博客
06-03 2068
Snort Snort简介 Snort安装与配置 Snort总体结构分析 Snort的使用 Snort的规则 使用 Snort构建入侵检测系统实例 Snort简介 Snort是一个基于 Libpcap的轻量级网络入侵检测系统,它运行在一个“传感器(Sensor)”主机上,监听网络数据。 Snort能够把网络数据和规则集进行模式匹配,从而检测可能的入侵企图;或者使用 SPADE(Statistical Packet Anomaly Detection Engine)插件,使用统计学方法对网络数据进行异常检
OSSEC中文使用手册
weixin_33705053的博客
09-18 1219
OSSEC中文使用手册 请到如下位置下载全文 http://down.51cto.com/data/253143 注:该手册是本人为了阅读方便而翻译的,其中可能有不少错误。有任何疑问可以参考原文。 http://www.ossec.net/doc/ ·Manual oInstallation oSyscheck oRootcheck ...
Suricata 开源网络入侵检测系统(IDS)和入侵防御系统(IPS)安装和使用
zengliguang的专栏
08-28 2286
Suricata 是一个强大的开源网络入侵检测系统(IDS)和入侵防御系统(IPS)。
OSSEC搭建部署(ossec-server(CentOS7.X)和ossec-agent(CentOS7.X))
热门推荐
weixin_44304678的博客
03-20 1万+
OSSEC是一款开源的基于主机的入侵检测系统,可以简称为HIDS。它具备日志分析,文件完整性检查,策略监控,rootkit检测,实时报警以及联动响应等功能。它支持多种操作系统:Linux、Windows、MacOS、Solaris、HP-UX、AIX。属于企业安全之利器。 环境: 两台centos 7虚拟机 服务端:192.168.1.160 客户端:192.168.1.165 第一步: 前提环境准备(在ossec-server端) 关闭selinux,找到SELINUX这一行,修改为disabled [r
ossec-wui 0.9:搭建与部署ossec入侵检测系统
OSSEC是一个开源的主机入侵检测系统(HIDS),它能够对系统调用、文件系统完整性、登录事件、进程监控、系统日志等多种数据源进行监控,以此来检测和响应潜在的入侵行为。OSSEC不仅在命令行环境下提供实时和离线分析...
yulong-hids:一种由YSRC开源的主机入侵检测系统
02-20
驭龙隐藏 由于此项目缺少维护,建议仅用于参考学习和二次开发 驭龙HIDS是一种由YSRC开源开源入侵检测系统,由Agent , Daemon , Server和Web四个部分组成的,集合异常检测,监控管理为一体,拥有异常行为发现,快速中断,高级分析等功能,可从多个维度行为信息中发现入侵行为。 代理为收集者角色,收集服务器信息,启动启动项,计划任务,监听端口,服务,登录日志,用户列表,实时监控文件操作行为,网络连接,执行命令,初步筛选整理后通过RPC协议传输到服务器官员。 Daemon为守护服务进程,为Agent提供进程守护,静默环境部署作用,其任务执行功能通过接收服务端的指令实现Agent热更新,切换功能和自定义命令执行等,任务传输过程使用RSA进行加密。 服务器为集成系统的大脑,支持横向扩展分布式部署,解析用户定义的规则(已内置部分基础规则)对从各个代理接收到的信息和行为进行分
渗透测试——漏洞扫描工具
wuli1024的博客
11-20 3016
然后还要将all这个压缩包里的plugin_feed_info.inc提取出来,命令行是 tar -zxvf all-2.0.tar.gz plugin_feed_info.inc,然鹅,我提取不出来。将下载好的插件移动到Nessus目录下,然后输入sudo /opt/nessus/sbin/nessuscli update all-2.0.tar.gz。用户名和密码随便写写就好,随后将会更新补丁,OK,这样Nessus可以使用了。将会获得一串数字,然后去激活码的这个网站,输入自己的邮箱获取激活码。
Security Onion(安全洋葱)开源入侵检测系统(ids)安装
xhscxj的博客
06-05 5408
Security Onion是一款专为入侵检测和NSM(网络安全监控)设计的Linux发行版。其安装过程很简单,在短时间内就可以部署一套完整的NSM收集、检测和分析的套件。Security Onion可能是主动的,用于识别漏洞或过期的SSL证书。或者也可能是被动的,如事件响应和网络取证。其镜像可以作为传感器分布在网络中,以监控多个VLAN和子网。
开源入侵检测系统—Snort安装
negnegil的博客
10-18 4828
Snort是一个多平台(Multi-Platform),实时(Real-Time)流量分析,网络IP数据包(Pocket)记录等特性的强大的网络入侵检测/防御系统(Network Intrusion Detection/Prevention System),即NIDS/NIPS。 安装系统:虚拟机CentOS7 首先安装 web 服务组件 LAMP Apache #apache yum install httpd httpd-devel #启动ahache systemctl start httpd #
OSSEC文档——开始使用OSSEC
c1052981766的专栏
02-27 1881
翻译:http://ossec-docs.readthedocs.io/en/latest/manual/non-technical-overview.html开始使用OSSEC OSSEC是一个监视和控制系统的平台。它将HIDS(基于主机的入侵检测)、日志监视和安全事件管理(SIM) /安全信息和事件管理(SIEM)的所有方面整合在一个简单、强大且开源的解决方案中。 优点: 法规遵循需求 O...
随记(六):Suricata IDS 开源入侵检测系统
XXR_Beta的博客
12-05 1290
记录两个Github项目: https://github.com/OISF/suricata https://github.com/suricata-rules/suricata-rules Suricata是一个优秀的开源入侵检测系统,此项目记录安全运营人员提取的高质量Suricata IDS规则。 Suricata IDS Rules 用来检测红队渗透/恶意行为等,支持检测CobaltStrike/MSF/Empire/DNS隧道/Weevely/菜刀/冰蝎/挖矿/反弹shell/ICMP隧道等。 官网
ossec开源入侵检测系统安装配置
woods2001的专栏
04-18 8155
ossec开源入侵检测系统安装配置,文档对server/agent模式进行详细介绍,如果只有一台服务器,可以用local模式,这种方式安装更为简单。   OSSEC简要介绍:  OSSEC 是一款开源入侵检测系统,包括了日志分析,全面检测,rook-kit检测。作为一款HIDS,OSSEC应该被安装在一台实施监控的系统中。另外有时 候不需要安装完全版本的OSSEC,如果有多台电脑都
开源入侵防护系统
zengliguang的专栏
09-19 684
以下是一些常见的开源入侵防护系统:
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值