bbottehub.io项目中的ossec线上安全监控高级配置指南

前言

在网络安全领域，入侵检测系统(IDS)是保护服务器安全的重要工具。本文将深入探讨bbottehub.io项目中使用的ossec HIDS(主机入侵检测系统)的高级配置方法，帮助系统管理员更好地部署和管理这一安全监控工具。

一、大规模部署准备

1.1 系统参数调整

默认情况下，ossec支持256个客户端连接。对于需要监控更多主机的大型环境，需要进行以下调整：

1. 编译时参数设置：

make setmaxagents

2. 修改系统限制： 编辑/etc/security/limits.conf文件，添加以下内容以支持2048个客户端连接：

ossec soft nofile 2048
ossec hard nofile 2048
ossecr soft nofile 2048
ossecr hard nofile 2048

二、批量添加客户端

2.1 准备工作

在服务端执行批量添加前，需要安装必要的Perl模块：

yum -y install perl-Time-HiRes

2.2 服务端操作

使用ossec提供的批量管理工具添加客户端：

./ossec-hids-2.8.1/contrib/ossec-batch-manager.pl -a -p 192.168.22.60 -n agent060

查看生成的客户端密钥：

cat /var/ossec/etc/client.keys

将密钥文件复制到客户端：

scp /var/ossec/etc/client.keys root@192.168.22.60:/var/ossec/etc/
service ossec restart

2.3 客户端操作

在客户端执行以下命令完成注册：

./ossec-hids-2.8.1/contrib/ossec-batch-manager.pl -e 192.168.22.60
service ossec restart

三、客户端远程管理

3.1 查看客户端信息

/usr/local/ossec/bin/agent_control -i 001

输出示例：

OSSEC HIDS agent_control. Agent information:
   Agent ID:   001
   Agent Name: agent001
   IP address: 192.168.22.152
   Status:     Active
   Operating system:    Linux manager 2.6.32-431.el6.x86_64
   Client version:      OSSEC HIDS v2.8
   Last keep alive:     Fri Aug 14 11:49:08 2015

3.2 远程重启客户端

/usr/local/ossec/bin/agent_control -R 001

四、自定义日志监控

4.1 添加自定义日志文件

使用提供的工具脚本添加Nginx访问日志监控：

./ossec-hids-2.8.1/contrib/util.sh addfile /var/log/nginx/nginx_access.log

该命令会在/var/ossec/etc/ossec.conf中添加如下配置：

<ossec_config>
  <localfile>
    <log_format>syslog</log_format>
    <location>/var/log/nginx/nginx_access.log</location>
  </localfile>
</ossec_config>

4.2 监控新文件创建

在<syscheck>部分添加以下配置以监控新文件创建：

<alert_new_files>yes</alert_new_files>

五、报警级别调整

5.1 修改默认规则级别

示例：修改web服务器400错误报警级别（原规则31151级别为10）

5.2 创建本地规则覆盖

在rules/local_rules.xml中添加：

<rule id="554" level="7" overwrite="yes">
  <category>ossec</category>
  <decoded_as>syscheck_new_entry</decoded_as>
  <description>File added to the system.</description>
  <group>syscheck,</group>
</rule>

六、日志格式详解

ossec支持多种日志格式，以下是主要类型：

1. syslog：标准系统日志格式
2. snort-full/snort-fast：Snort日志格式
3. squid/iis：代理/IIS日志
4. eventlog：Windows事件日志
5. mysql_log/postgresql_log：数据库日志
6. apache：Apache默认日志格式
7. command/full_command：命令输出日志
8. multi-line：多行日志（需指定行数）

七、自动日志识别

ossec在安装时会自动识别并配置常见日志文件，包括：

• /var/log/messages
• /var/log/secure
• /var/log/maillog
• Nginx/Apache访问和错误日志

对于PHP错误日志，确保php.ini中配置了正确的错误日志路径：

error_log = /var/log/nginx/error.log

八、同类安全工具比较

1. Tripwire：专注于文件完整性检查
2. Snort：网络入侵检测系统
3. OSSIM：集成多种安全工具的开源SIEM
4. Fail2ban：通过分析日志阻止未授权访问
5. DenyHosts：专门针对SSH未授权访问的防护工具

结语

通过本文介绍的高级配置方法，管理员可以更高效地部署和管理ossec监控系统，构建更加完善的服务器安全防护体系。合理配置报警级别和日志监控范围，可以在保证安全性的同时减少误报，提高运维效率。