OSSEC(HIDS)安装与使用(ubuntu16.04)
2019-05-19 本文已影响11人
杨赟快跑
OSSEC是一个监控和控制系统的平台。它将HIDS(基于主机的入侵检测),日志监控,安全事件管理(SIM)/安全信息和事件管理(SIEM)的所有方面混合在一起,形成一个简单,强大且开源的解决方案。
0.主要功能
功能 | 详细描述 |
---|---|
文件完整性检查 | 检测任何文件,目录或注册表更改,它可能是攻击,也可能是员工的误用,甚至是管理员的错误 |
日志监控 | 对操作系统,应用程序和设备的日志进行收集,分析和关联,检测可疑事件(攻击,误用,错误等),例如当有人安装了应用程序或者更改了防火墙中的规则 |
Rootkit检测 | 犯罪黑客希望隐藏他们的行为,但是使用rootkit检测时,可以在以rootkit共有的方式修改系统时通知您 |
主动响应 | 主动响应允许OSSEC在触发指定警报时立即采取措施。这可以防止事件在管理员采取行动之前传播 |
1.下载安装包
wget -U ossec https://bintray.com/artifact/download/ossec/ossec-hids/ossec-hids-2.8.3.tar.gz
2.安装
tar -zxvf ossec-hids-2.8.3.tar.gz
cd ossec-hids-2.8.3
./install.sh
3.启动
/var/ossec/bin/ossec-control start
4.日志文件
日志文件
5.添加需要监控的日志
nano /var/ossec/etc/ossec.conf
修改/var/ossec/etc/ossec.conf配置文件,在其中添加要监控的文件。