Linux 入侵检测系统 OSSEC 搭建

入侵检测系统(IDS)

• 在安全防御体系中，IDS在入侵过程中或者入侵后行为的监控和报警。
• IDS 依照预先设定的安全策略，通过软硬件，对网络、系统的运行状况进行监视，尽可能早的发现各种攻击企图、攻击行为或者攻击后果，以保证网络系统资源的机密性、完整性和可用性

HIDS OSSEC

OSSEC 是一款开源的多平台的入侵检测系统，可以运行于 Windows, Linux, OpenBSD/FreeBSD, 以及 MacOS 等操作系统中。包括了日志分析，全面检测，Root-Kit检测。

OSSEC 部署

1. 安装 gcc ，让 OSSEC 能正常运行

yum install -y gcc gcc-c++ libstdc++-devel inotify-tools bind-utils

2. 下载解压安装文件

wget -O ossec.tar.gz https://github.com/ossec/ossec-hids/archive/2.9.3.tar.gz
tar -zxvf ossec.tar.gz
cd ossec-hids-2.9.3/
./install.sh

3. 安装

• 服务端

• 客户端

服务端生成 key ，客户端将其导入

• 安装完成后，客户端需要简单的配置一下
• 在 /var/ossec/etc/shared 下创建文件 agent.conf ，并编辑：

 <agent_config>
 	<localfile>
 		<location>/var/log/my.log</location>
 		<log_format>syslog</log_format>
 	</localfile>
 </agent_config>