首页
/ bbottehub.io项目中的ossec线上安全监控高级配置指南

bbottehub.io项目中的ossec线上安全监控高级配置指南

2025-07-01 11:56:55作者:舒璇辛Bertina

前言

在网络安全领域,入侵检测系统(IDS)是保护服务器安全的重要工具。本文将深入探讨bbottehub.io项目中使用的ossec HIDS(主机入侵检测系统)的高级配置方法,帮助系统管理员更好地部署和管理这一安全监控工具。

一、大规模部署准备

1.1 系统参数调整

默认情况下,ossec支持256个客户端连接。对于需要监控更多主机的大型环境,需要进行以下调整:

  1. 编译时参数设置
make setmaxagents
  1. 修改系统限制: 编辑/etc/security/limits.conf文件,添加以下内容以支持2048个客户端连接:
ossec soft nofile 2048
ossec hard nofile 2048
ossecr soft nofile 2048
ossecr hard nofile 2048

二、批量添加客户端

2.1 准备工作

在服务端执行批量添加前,需要安装必要的Perl模块:

yum -y install perl-Time-HiRes

2.2 服务端操作

使用ossec提供的批量管理工具添加客户端:

./ossec-hids-2.8.1/contrib/ossec-batch-manager.pl -a -p 192.168.22.60 -n agent060

查看生成的客户端密钥:

cat /var/ossec/etc/client.keys

将密钥文件复制到客户端:

scp /var/ossec/etc/client.keys root@192.168.22.60:/var/ossec/etc/
service ossec restart

2.3 客户端操作

在客户端执行以下命令完成注册:

./ossec-hids-2.8.1/contrib/ossec-batch-manager.pl -e 192.168.22.60
service ossec restart

三、客户端远程管理

3.1 查看客户端信息

/usr/local/ossec/bin/agent_control -i 001

输出示例:

OSSEC HIDS agent_control. Agent information:
   Agent ID:   001
   Agent Name: agent001
   IP address: 192.168.22.152
   Status:     Active
   Operating system:    Linux manager 2.6.32-431.el6.x86_64
   Client version:      OSSEC HIDS v2.8
   Last keep alive:     Fri Aug 14 11:49:08 2015

3.2 远程重启客户端

/usr/local/ossec/bin/agent_control -R 001

四、自定义日志监控

4.1 添加自定义日志文件

使用提供的工具脚本添加Nginx访问日志监控:

./ossec-hids-2.8.1/contrib/util.sh addfile /var/log/nginx/nginx_access.log

该命令会在/var/ossec/etc/ossec.conf中添加如下配置:

<ossec_config>
  <localfile>
    <log_format>syslog</log_format>
    <location>/var/log/nginx/nginx_access.log</location>
  </localfile>
</ossec_config>

4.2 监控新文件创建

<syscheck>部分添加以下配置以监控新文件创建:

<alert_new_files>yes</alert_new_files>

五、报警级别调整

5.1 修改默认规则级别

示例:修改web服务器400错误报警级别(原规则31151级别为10)

5.2 创建本地规则覆盖

rules/local_rules.xml中添加:

<rule id="554" level="7" overwrite="yes">
  <category>ossec</category>
  <decoded_as>syscheck_new_entry</decoded_as>
  <description>File added to the system.</description>
  <group>syscheck,</group>
</rule>

六、日志格式详解

ossec支持多种日志格式,以下是主要类型:

  1. syslog:标准系统日志格式
  2. snort-full/snort-fast:Snort日志格式
  3. squid/iis:代理/IIS日志
  4. eventlog:Windows事件日志
  5. mysql_log/postgresql_log:数据库日志
  6. apache:Apache默认日志格式
  7. command/full_command:命令输出日志
  8. multi-line:多行日志(需指定行数)

七、自动日志识别

ossec在安装时会自动识别并配置常见日志文件,包括:

  • /var/log/messages
  • /var/log/secure
  • /var/log/maillog
  • Nginx/Apache访问和错误日志

对于PHP错误日志,确保php.ini中配置了正确的错误日志路径:

error_log = /var/log/nginx/error.log

八、同类安全工具比较

  1. Tripwire:专注于文件完整性检查
  2. Snort:网络入侵检测系统
  3. OSSIM:集成多种安全工具的开源SIEM
  4. Fail2ban:通过分析日志阻止未授权访问
  5. DenyHosts:专门针对SSH未授权访问的防护工具

结语

通过本文介绍的高级配置方法,管理员可以更高效地部署和管理ossec监控系统,构建更加完善的服务器安全防护体系。合理配置报警级别和日志监控范围,可以在保证安全性的同时减少误报,提高运维效率。

登录后查看全文
热门项目推荐

项目优选

收起
ohos_react_nativeohos_react_native
React Native鸿蒙化仓库
C++
178
262
RuoYi-Vue3RuoYi-Vue3
🎉 (RuoYi)官方仓库 基于SpringBoot,Spring Security,JWT,Vue3 & Vite、Element Plus 的前后端分离权限管理系统
Vue
867
513
openGauss-serveropenGauss-server
openGauss kernel ~ openGauss is an open source relational database management system
C++
129
183
openHiTLSopenHiTLS
旨在打造算法先进、性能卓越、高效敏捷、安全可靠的密码套件,通过轻量级、可剪裁的软件技术架构满足各行业不同场景的多样化要求,让密码技术应用更简单,同时探索后量子等先进算法创新实践,构建密码前沿技术底座!
C
265
305
HarmonyOS-ExamplesHarmonyOS-Examples
本仓将收集和展示仓颉鸿蒙应用示例代码,欢迎大家投稿,在仓颉鸿蒙社区展现你的妙趣设计!
Cangjie
398
371
CangjieCommunityCangjieCommunity
为仓颉编程语言开发者打造活跃、开放、高质量的社区环境
Markdown
1.07 K
0
ShopXO开源商城ShopXO开源商城
🔥🔥🔥ShopXO企业级免费开源商城系统,可视化DIY拖拽装修、包含PC、H5、多端小程序(微信+支付宝+百度+头条&抖音+QQ+快手)、APP、多仓库、多商户、多门店、IM客服、进销存,遵循MIT开源协议发布、基于ThinkPHP8框架研发
JavaScript
93
15
note-gennote-gen
一款跨平台的 Markdown AI 笔记软件,致力于使用 AI 建立记录和写作的桥梁。
TSX
83
4
cherry-studiocherry-studio
🍒 Cherry Studio 是一款支持多个 LLM 提供商的桌面客户端
TypeScript
598
57
GitNextGitNext
基于可以运行在OpenHarmony的git,提供git客户端操作能力
ArkTS
10
3