亚洲综合社区欧美综合色-欧美逼逼一区二区三区-国产老熟女高潮精品网站-国产日韩最新视频在线看

始創(chuàng)于2000年 股票代碼:831685
咨詢(xún)熱線(xiàn):0371-60135900 注冊(cè)有禮 登錄
  • 掛牌上市企業(yè)
  • 60秒人工響應(yīng)
  • 99.99%連通率
  • 7*24h人工
  • 故障100倍補(bǔ)償
全部產(chǎn)品
您的位置: 網(wǎng)站首頁(yè) > 幫助中心>文章內(nèi)容

OSSEC HIDS:開(kāi)源的基于主機(jī)的入侵檢測(cè)系統(tǒng)
發(fā)布時(shí)間:  2012/5/28 8:02:45

OSSEC HIDS的主要功能有日志分析、完整性檢查、rootkit檢測(cè)、基于時(shí)間的警報(bào)和主動(dòng)響應(yīng)。除了具有入侵檢測(cè)系統(tǒng)功能外,它還一般被用在SEM/SIM(安全事件管理(SEM: Security Event Management)/安全信息管理(SIM:Security Information Management))解決方案中。因其強(qiáng)大的日志分析引擎,ISP(Internet service provider)(網(wǎng)絡(luò)服務(wù)提供商)、大學(xué)和數(shù)據(jù)中心用其監(jiān)控和分析他們的防火墻、入侵檢測(cè)系統(tǒng)、網(wǎng)頁(yè)服務(wù)和驗(yàn)證等產(chǎn)生的日志。

我們介紹了用于監(jiān)視可疑網(wǎng)絡(luò)動(dòng)作的入侵檢測(cè)系統(tǒng)(IDS)部署的幾種方式,其中我提到了托管方式的入侵檢測(cè)系統(tǒng)(HIDS),但是沒(méi)有具體舉例。

后來(lái)我偶爾發(fā)現(xiàn)了OSSEC HIDS。OSSEC是一款開(kāi)源的入侵檢測(cè)系統(tǒng),包括了日志分析,全面檢測(cè),rook-kit檢測(cè)。作為一款HIDS,OSSEC應(yīng)該被安裝在一臺(tái)實(shí)施監(jiān)控的系統(tǒng)中。另外有時(shí)候不需要安裝完全版本得OSSEC,如果有多臺(tái)電腦都安裝了OSSEC,那么就可以采用客戶(hù)端/服務(wù)器模式來(lái)運(yùn)行?蛻(hù)機(jī)通過(guò)客戶(hù)端程序?qū)?shù)據(jù)發(fā)回到服務(wù)器端進(jìn)行分析。在一臺(tái)電腦上對(duì)多個(gè)系統(tǒng)進(jìn)行監(jiān)控對(duì)于企業(yè)或者家庭用戶(hù)來(lái)說(shuō)都是相當(dāng)經(jīng)濟(jì)實(shí)用的。

對(duì)我來(lái)說(shuō)OSSEC最大的優(yōu)勢(shì)在于它幾乎可以運(yùn)行在任何一種操作系統(tǒng)上,比如Windows, Linux, OpenBSD/FreeBSD, 以及 MacOS。不過(guò)運(yùn)行在Windows上的客戶(hù)端無(wú)法實(shí)現(xiàn)root-kit檢測(cè),而其他系統(tǒng)上的客戶(hù)端都沒(méi)有問(wèn)題。OSSEC的手冊(cè)上說(shuō)OSSEC目前還不支持Windows系統(tǒng)下得root-kit檢測(cè),估計(jì)是正在開(kāi)發(fā)中。

為了測(cè)試OSSEC,我用Ubuntu 7.04搭建了一個(gè)桌面系統(tǒng)。首先下載最新版本的OSSEC,另外最好也下載一個(gè)校驗(yàn)文件。

  1. # wget http://www.ossec.net/files/ossec-hIDS-latest.tar.gz  
  2. # wget http://www.ossec.net/files/ossec-hIDS-latest_sum.txt 

校驗(yàn)文件包含了 MD5和SHA1校驗(yàn)和。首先遇到的問(wèn)題是校驗(yàn)和文件名與 OSSEC文件名不同。我修改了校驗(yàn)和文件名,然后測(cè)試ossec-hIDS-latest.tar.gz文件 (而不是ossec-hIDS-1.2.tar.gz),MD5校驗(yàn)顯示‘ok’。

  1. # md5sum –c ossec-hIDS-latest.tar.gz  
  2. ossec-hIDS-latest.tar.gz: OK 

解壓后點(diǎn)擊安裝腳本 (./install.sh) ,接著提示 OSSEC需要以root安裝,接著又提示要安裝 C語(yǔ)言編譯器,好在很多Linux系統(tǒng)都自帶 GCC。在安裝時(shí)得選項(xiàng)包括:

  1. ◆Local installation   
  2. ◆/var/ossec   
  3. ◆Yes to email notification: myemail@mydomain.com and yes to using my SMTP server   
  4. ◆Yes to integrity check daemon   
  5. ◆Yes to rootcheck   
  6. ◆Active response enabled   
  7. ◆Firewall-drop response enabled   
  8. ◆No additions to the whitelist  

設(shè)定好后,OSSEC的編譯就可以順利進(jìn)行了。安裝腳本會(huì)自動(dòng)檢測(cè)到Ubuntu并建立正確的初始化腳本,這是OSSEC最新添加得功能,因?yàn)槲以?jīng)在OSSEC的論壇上看到很多用戶(hù)都抱怨在Ubuntu下安裝不方便。

那么我該怎么測(cè)試OSSEC呢? 首先是建立新的系統(tǒng)用戶(hù),這個(gè)可以被立即檢測(cè)到:

  1. Received From: justin-ubuntu->syscheck  
  2. Rule: 550 fired (level 7) -> “Integrity checksum changed.”  
  3. Portion of the log(s):  
  4. Integrity checksum changed for: ‘/etc/passwd’  
  5. Size changed from ‘1504′ to ‘1554′  
  6. Old md5sum was: ‘67ddb6269b9dc8ab219f031d8eb56dde’  
  7. New md5sum is : ‘85335133ce515223c3d4e98f64b00b2f’  
  8. Old sha1sum was: ‘93f6de00e26f4439813694a87decf0c6d93bb5e1′  
  9. New sha1sum is : ‘513f08859b89dd2f36e9ac4be017b92979e116a6′ 

我還特意輸入錯(cuò)誤的密碼來(lái)測(cè)試 SSHD檢測(cè)功能。在經(jīng)歷了七次錯(cuò)誤嘗試后,系統(tǒng)拒絕了我的登錄進(jìn)程,并將用戶(hù)添加到了hosts.deny 文件:

  1. Received From: justin-ubuntu->/var/log/auth.log  
  2. Rule: 5720 fired (level 10) -> “Multiple SSHD authentication failures.”  
  3. Portion of the log(s):  
  4. Jun 11 19:50:16 justin-ubuntu sshd[7624]: Failed password for root from 192.168.0.201 port 51239 ssh2  
  5. Jun 11 19:49:28 justin-ubuntu sshd[7603]: Failed password for root from 192.168.0.201 port 51238 ssh2  
  6. Jun 11 19:49:17 justin-ubuntu sshd[7597]: Failed password for root from 192.168.0.201 port 51237 ssh2  
  7. Jun 11 19:49:05 justin-ubuntu sshd[7591]: Failed password for root from 192.168.0.201 port 51236 ssh2  
  8. Jun 11 19:48:52 justin-ubuntu sshd[7583]: Failed password for root from 192.168.0.201 port 51235 ssh2  
  9. Jun 11 19:48:38 justin-ubuntu sshd[7575]: Failed password for root from 192.168.0.201 port 51234 ssh2  
  10. Jun 11 19:48:28 justin-ubuntu sshd[7569]: Failed password for root from 192.168.0.201 port 51233 ssh2 

總之,在我看來(lái),OSSEC是一款不需要多少資源的很不錯(cuò)的系統(tǒng)管理工具。OSSEC可以讀取Network Intrusion Detection 日志(snort) 以及 Apache和 IIS 得日志,從而確定你的系統(tǒng)有沒(méi)有定期檢測(cè),以及有沒(méi)有未知的入侵情況發(fā)生。當(dāng)然,OSSEC有一點(diǎn)令我不滿(mǎn)意,就是它沒(méi)有GUI界面,管理起來(lái)不太方便?磥(lái)只有通過(guò)電郵警告或者不斷查看日志得方式來(lái)判斷是否有入侵發(fā)生。另外我沒(méi)有發(fā)現(xiàn)任何有關(guān)與Nagios, Zenoss, 或Zabbix集成的信息。


本文出自:億恩科技【1tcdy.com】

服務(wù)器租用/服務(wù)器托管中國(guó)五強(qiáng)!虛擬主機(jī)域名注冊(cè)頂級(jí)提供商!15年品質(zhì)保障!--億恩科技[ENKJ.COM]
  • 您可能在找
  • 億恩北京公司:
  • 經(jīng)營(yíng)性ICP/ISP證:京B2-20150015
    •
  • 億恩鄭州公司:
  • 經(jīng)營(yíng)性ICP/ISP/IDC證:豫B1.B2-20060070
    •
  • 億恩南昌公司:
  • 經(jīng)營(yíng)性ICP/ISP證:贛B2-20080012
    •
  • 服務(wù)器/云主機(jī) 24小時(shí)售后服務(wù)電話(huà):0371-60135900
  • 虛擬主機(jī)/智能建站 24小時(shí)售后服務(wù)電話(huà):0371-60135900
    •
    專(zhuān)注服務(wù)器托管17年
    掃掃關(guān)注-微信公眾號(hào)
    0371-60135900
    Copyright© 1999-2019 ENKJ All Rights Reserved 億恩科技 版權(quán)所有  地址:鄭州市高新區(qū)翠竹街1號(hào)總部企業(yè)基地億恩大廈  法律顧問(wèn):河南亞太人律師事務(wù)所郝建鋒、杜慧月律師   京公網(wǎng)安備41019702002023號(hào)
      1
     
     
     
     

    0371-60135900
    7*24小時(shí)客服服務(wù)熱線(xiàn)