首页
/ bbottehub.io项目中的ossec线上安全监控高级配置指南

bbottehub.io项目中的ossec线上安全监控高级配置指南

2025-07-01 18:58:23作者:舒璇辛Bertina

前言

在网络安全领域,入侵检测系统(IDS)是保护服务器安全的重要工具。本文将深入探讨bbottehub.io项目中使用的ossec HIDS(主机入侵检测系统)的高级配置方法,帮助系统管理员更好地部署和管理这一安全监控工具。

一、大规模部署准备

1.1 系统参数调整

默认情况下,ossec支持256个客户端连接。对于需要监控更多主机的大型环境,需要进行以下调整:

  1. 编译时参数设置
make setmaxagents
  1. 修改系统限制: 编辑/etc/security/limits.conf文件,添加以下内容以支持2048个客户端连接:
ossec soft nofile 2048
ossec hard nofile 2048
ossecr soft nofile 2048
ossecr hard nofile 2048

二、批量添加客户端

2.1 准备工作

在服务端执行批量添加前,需要安装必要的Perl模块:

yum -y install perl-Time-HiRes

2.2 服务端操作

使用ossec提供的批量管理工具添加客户端:

./ossec-hids-2.8.1/contrib/ossec-batch-manager.pl -a -p 192.168.22.60 -n agent060

查看生成的客户端密钥:

cat /var/ossec/etc/client.keys

将密钥文件复制到客户端:

scp /var/ossec/etc/client.keys root@192.168.22.60:/var/ossec/etc/
service ossec restart

2.3 客户端操作

在客户端执行以下命令完成注册:

./ossec-hids-2.8.1/contrib/ossec-batch-manager.pl -e 192.168.22.60
service ossec restart

三、客户端远程管理

3.1 查看客户端信息

/usr/local/ossec/bin/agent_control -i 001

输出示例:

OSSEC HIDS agent_control. Agent information:
   Agent ID:   001
   Agent Name: agent001
   IP address: 192.168.22.152
   Status:     Active
   Operating system:    Linux manager 2.6.32-431.el6.x86_64
   Client version:      OSSEC HIDS v2.8
   Last keep alive:     Fri Aug 14 11:49:08 2015

3.2 远程重启客户端

/usr/local/ossec/bin/agent_control -R 001

四、自定义日志监控

4.1 添加自定义日志文件

使用提供的工具脚本添加Nginx访问日志监控:

./ossec-hids-2.8.1/contrib/util.sh addfile /var/log/nginx/nginx_access.log

该命令会在/var/ossec/etc/ossec.conf中添加如下配置:

<ossec_config>
  <localfile>
    <log_format>syslog</log_format>
    <location>/var/log/nginx/nginx_access.log</location>
  </localfile>
</ossec_config>

4.2 监控新文件创建

<syscheck>部分添加以下配置以监控新文件创建:

<alert_new_files>yes</alert_new_files>

五、报警级别调整

5.1 修改默认规则级别

示例:修改web服务器400错误报警级别(原规则31151级别为10)

5.2 创建本地规则覆盖

rules/local_rules.xml中添加:

<rule id="554" level="7" overwrite="yes">
  <category>ossec</category>
  <decoded_as>syscheck_new_entry</decoded_as>
  <description>File added to the system.</description>
  <group>syscheck,</group>
</rule>

六、日志格式详解

ossec支持多种日志格式,以下是主要类型:

  1. syslog:标准系统日志格式
  2. snort-full/snort-fast:Snort日志格式
  3. squid/iis:代理/IIS日志
  4. eventlog:Windows事件日志
  5. mysql_log/postgresql_log:数据库日志
  6. apache:Apache默认日志格式
  7. command/full_command:命令输出日志
  8. multi-line:多行日志(需指定行数)

七、自动日志识别

ossec在安装时会自动识别并配置常见日志文件,包括:

  • /var/log/messages
  • /var/log/secure
  • /var/log/maillog
  • Nginx/Apache访问和错误日志

对于PHP错误日志,确保php.ini中配置了正确的错误日志路径:

error_log = /var/log/nginx/error.log

八、同类安全工具比较

  1. Tripwire:专注于文件完整性检查
  2. Snort:网络入侵检测系统
  3. OSSIM:集成多种安全工具的开源SIEM
  4. Fail2ban:通过分析日志阻止未授权访问
  5. DenyHosts:专门针对SSH未授权访问的防护工具

结语

通过本文介绍的高级配置方法,管理员可以更高效地部署和管理ossec监控系统,构建更加完善的服务器安全防护体系。合理配置报警级别和日志监控范围,可以在保证安全性的同时减少误报,提高运维效率。

登录后查看全文
热门项目推荐

热门内容推荐

最新内容推荐

项目优选

收起
docsdocs
OpenHarmony documentation | OpenHarmony开发者文档
Dockerfile
144
1.93 K
kernelkernel
deepin linux kernel
C
22
6
ohos_react_nativeohos_react_native
React Native鸿蒙化仓库
C++
192
274
openGauss-serveropenGauss-server
openGauss kernel ~ openGauss is an open source relational database management system
C++
145
189
RuoYi-Vue3RuoYi-Vue3
🎉 (RuoYi)官方仓库 基于SpringBoot,Spring Security,JWT,Vue3 & Vite、Element Plus 的前后端分离权限管理系统
Vue
930
553
nop-entropynop-entropy
Nop Platform 2.0是基于可逆计算理论实现的采用面向语言编程范式的新一代低代码开发平台,包含基于全新原理从零开始研发的GraphQL引擎、ORM引擎、工作流引擎、报表引擎、规则引擎、批处理引引擎等完整设计。nop-entropy是它的后端部分,采用java语言实现,可选择集成Spring框架或者Quarkus框架。中小企业可以免费商用
Java
8
0
openHiTLSopenHiTLS
旨在打造算法先进、性能卓越、高效敏捷、安全可靠的密码套件,通过轻量级、可剪裁的软件技术架构满足各行业不同场景的多样化要求,让密码技术应用更简单,同时探索后量子等先进算法创新实践,构建密码前沿技术底座!
C
423
392
金融AI编程实战金融AI编程实战
为非计算机科班出身 (例如财经类高校金融学院) 同学量身定制,新手友好,让学生以亲身实践开源开发的方式,学会使用计算机自动化自己的科研/创新工作。案例以量化投资为主线,涉及 Bash、Python、SQL、BI、AI 等全技术栈,培养面向未来的数智化人才 (如数据工程师、数据分析师、数据科学家、数据决策者、量化投资人)。
Jupyter Notebook
75
66
CangjieCommunityCangjieCommunity
为仓颉编程语言开发者打造活跃、开放、高质量的社区环境
Markdown
1.11 K
0
openHiTLS-examplesopenHiTLS-examples
本仓将为广大高校开发者提供开源实践和创新开发平台,收集和展示openHiTLS示例代码及创新应用,欢迎大家投稿,让全世界看到您的精巧密码实现设计,也让更多人通过您的优秀成果,理解、喜爱上密码技术。
C
64
511