bbottehub.io项目中的ossec线上安全监控高级配置指南
2025-07-01 18:58:23作者:舒璇辛Bertina
前言
在网络安全领域,入侵检测系统(IDS)是保护服务器安全的重要工具。本文将深入探讨bbottehub.io项目中使用的ossec HIDS(主机入侵检测系统)的高级配置方法,帮助系统管理员更好地部署和管理这一安全监控工具。
一、大规模部署准备
1.1 系统参数调整
默认情况下,ossec支持256个客户端连接。对于需要监控更多主机的大型环境,需要进行以下调整:
- 编译时参数设置:
make setmaxagents
- 修改系统限制:
编辑
/etc/security/limits.conf
文件,添加以下内容以支持2048个客户端连接:
ossec soft nofile 2048
ossec hard nofile 2048
ossecr soft nofile 2048
ossecr hard nofile 2048
二、批量添加客户端
2.1 准备工作
在服务端执行批量添加前,需要安装必要的Perl模块:
yum -y install perl-Time-HiRes
2.2 服务端操作
使用ossec提供的批量管理工具添加客户端:
./ossec-hids-2.8.1/contrib/ossec-batch-manager.pl -a -p 192.168.22.60 -n agent060
查看生成的客户端密钥:
cat /var/ossec/etc/client.keys
将密钥文件复制到客户端:
scp /var/ossec/etc/client.keys root@192.168.22.60:/var/ossec/etc/
service ossec restart
2.3 客户端操作
在客户端执行以下命令完成注册:
./ossec-hids-2.8.1/contrib/ossec-batch-manager.pl -e 192.168.22.60
service ossec restart
三、客户端远程管理
3.1 查看客户端信息
/usr/local/ossec/bin/agent_control -i 001
输出示例:
OSSEC HIDS agent_control. Agent information:
Agent ID: 001
Agent Name: agent001
IP address: 192.168.22.152
Status: Active
Operating system: Linux manager 2.6.32-431.el6.x86_64
Client version: OSSEC HIDS v2.8
Last keep alive: Fri Aug 14 11:49:08 2015
3.2 远程重启客户端
/usr/local/ossec/bin/agent_control -R 001
四、自定义日志监控
4.1 添加自定义日志文件
使用提供的工具脚本添加Nginx访问日志监控:
./ossec-hids-2.8.1/contrib/util.sh addfile /var/log/nginx/nginx_access.log
该命令会在/var/ossec/etc/ossec.conf
中添加如下配置:
<ossec_config>
<localfile>
<log_format>syslog</log_format>
<location>/var/log/nginx/nginx_access.log</location>
</localfile>
</ossec_config>
4.2 监控新文件创建
在<syscheck>
部分添加以下配置以监控新文件创建:
<alert_new_files>yes</alert_new_files>
五、报警级别调整
5.1 修改默认规则级别
示例:修改web服务器400错误报警级别(原规则31151级别为10)
5.2 创建本地规则覆盖
在rules/local_rules.xml
中添加:
<rule id="554" level="7" overwrite="yes">
<category>ossec</category>
<decoded_as>syscheck_new_entry</decoded_as>
<description>File added to the system.</description>
<group>syscheck,</group>
</rule>
六、日志格式详解
ossec支持多种日志格式,以下是主要类型:
- syslog:标准系统日志格式
- snort-full/snort-fast:Snort日志格式
- squid/iis:代理/IIS日志
- eventlog:Windows事件日志
- mysql_log/postgresql_log:数据库日志
- apache:Apache默认日志格式
- command/full_command:命令输出日志
- multi-line:多行日志(需指定行数)
七、自动日志识别
ossec在安装时会自动识别并配置常见日志文件,包括:
- /var/log/messages
- /var/log/secure
- /var/log/maillog
- Nginx/Apache访问和错误日志
对于PHP错误日志,确保php.ini中配置了正确的错误日志路径:
error_log = /var/log/nginx/error.log
八、同类安全工具比较
- Tripwire:专注于文件完整性检查
- Snort:网络入侵检测系统
- OSSIM:集成多种安全工具的开源SIEM
- Fail2ban:通过分析日志阻止未授权访问
- DenyHosts:专门针对SSH未授权访问的防护工具
结语
通过本文介绍的高级配置方法,管理员可以更高效地部署和管理ossec监控系统,构建更加完善的服务器安全防护体系。合理配置报警级别和日志监控范围,可以在保证安全性的同时减少误报,提高运维效率。
登录后查看全文
热门项目推荐
- DDeepSeek-V3.1-TerminusDeepSeek-V3.1-Terminus是V3的更新版,修复语言问题,并优化了代码与搜索智能体性能。Python00
- QQwen3-Omni-30B-A3B-InstructQwen3-Omni是多语言全模态模型,原生支持文本、图像、音视频输入,并实时生成语音。00
GitCode-文心大模型-智源研究院AI应用开发大赛
GitCode&文心大模型&智源研究院强强联合,发起的AI应用开发大赛;总奖池8W,单人最高可得价值3W奖励。快来参加吧~0267cinatra
c++20实现的跨平台、header only、跨平台的高性能http库。C++00AI内容魔方
AI内容专区,汇集全球AI开源项目,集结模块、可组合的内容,致力于分享、交流。02- HHunyuan-MT-7B腾讯混元翻译模型主要支持33种语言间的互译,包括中国五种少数民族语言。00
GOT-OCR-2.0-hf
阶跃星辰StepFun推出的GOT-OCR-2.0-hf是一款强大的多语言OCR开源模型,支持从普通文档到复杂场景的文字识别。它能精准处理表格、图表、数学公式、几何图形甚至乐谱等特殊内容,输出结果可通过第三方工具渲染成多种格式。模型支持1024×1024高分辨率输入,具备多页批量处理、动态分块识别和交互式区域选择等创新功能,用户可通过坐标或颜色指定识别区域。基于Apache 2.0协议开源,提供Hugging Face演示和完整代码,适用于学术研究到工业应用的广泛场景,为OCR领域带来突破性解决方案。00- HHowToCook程序员在家做饭方法指南。Programmer's guide about how to cook at home (Chinese only).Dockerfile06
- PpathwayPathway is an open framework for high-throughput and low-latency real-time data processing.Python00
热门内容推荐
最新内容推荐
项目优选
收起

OpenHarmony documentation | OpenHarmony开发者文档
Dockerfile
144
1.93 K

deepin linux kernel
C
22
6

React Native鸿蒙化仓库
C++
192
274

openGauss kernel ~ openGauss is an open source relational database management system
C++
145
189

🎉 (RuoYi)官方仓库 基于SpringBoot,Spring Security,JWT,Vue3 & Vite、Element Plus 的前后端分离权限管理系统
Vue
930
553

Nop Platform 2.0是基于可逆计算理论实现的采用面向语言编程范式的新一代低代码开发平台,包含基于全新原理从零开始研发的GraphQL引擎、ORM引擎、工作流引擎、报表引擎、规则引擎、批处理引引擎等完整设计。nop-entropy是它的后端部分,采用java语言实现,可选择集成Spring框架或者Quarkus框架。中小企业可以免费商用
Java
8
0

旨在打造算法先进、性能卓越、高效敏捷、安全可靠的密码套件,通过轻量级、可剪裁的软件技术架构满足各行业不同场景的多样化要求,让密码技术应用更简单,同时探索后量子等先进算法创新实践,构建密码前沿技术底座!
C
423
392

为非计算机科班出身 (例如财经类高校金融学院) 同学量身定制,新手友好,让学生以亲身实践开源开发的方式,学会使用计算机自动化自己的科研/创新工作。案例以量化投资为主线,涉及 Bash、Python、SQL、BI、AI 等全技术栈,培养面向未来的数智化人才 (如数据工程师、数据分析师、数据科学家、数据决策者、量化投资人)。
Jupyter Notebook
75
66

为仓颉编程语言开发者打造活跃、开放、高质量的社区环境
Markdown
1.11 K
0

本仓将为广大高校开发者提供开源实践和创新开发平台,收集和展示openHiTLS示例代码及创新应用,欢迎大家投稿,让全世界看到您的精巧密码实现设计,也让更多人通过您的优秀成果,理解、喜爱上密码技术。
C
64
511