|
OSSEC HIDS的主要功能有日志分析���、完整性檢查、rootkit檢測����、基于時間的警報和主動響應(yīng)。除了具有入侵檢測系統(tǒng)功能外�����,它還一般被用在SEM/SIM(安全事件管理(SEM: Security Event Management)/安全信息管理(SIM:Security Information Management))解決方案中。因其強大的日志分析引擎�����,ISP(Internet service provider)(網(wǎng)絡(luò)服務(wù)提供商)�、大學(xué)和數(shù)據(jù)中心用其監(jiān)控和分析他們的防火墻、入侵檢測系統(tǒng)�����、網(wǎng)頁服務(wù)和驗證等產(chǎn)生的日志�。
我們介紹了用于監(jiān)視可疑網(wǎng)絡(luò)動作的入侵檢測系統(tǒng)(IDS)部署的幾種方式,其中我提到了托管方式的入侵檢測系統(tǒng)(HIDS)��,但是沒有具體舉例����。
后來我偶爾發(fā)現(xiàn)了OSSEC HIDS。OSSEC是一款開源的入侵檢測系統(tǒng)���,包括了日志分析����,全面檢測��,rook-kit檢測。作為一款HIDS��,OSSEC應(yīng)該被安裝在一臺實施監(jiān)控的系統(tǒng)中����。另外有時候不需要安裝完全版本得OSSEC,如果有多臺電腦都安裝了OSSEC���,那么就可以采用客戶端/服務(wù)器模式來運行���。客戶機通過客戶端程序?qū)?shù)據(jù)發(fā)回到服務(wù)器端進(jìn)行分析�。在一臺電腦上對多個系統(tǒng)進(jìn)行監(jiān)控對于企業(yè)或者家庭用戶來說都是相當(dāng)經(jīng)濟實用的。
對我來說OSSEC最大的優(yōu)勢在于它幾乎可以運行在任何一種操作系統(tǒng)上�����,比如Windows, Linux, OpenBSD/FreeBSD, 以及 MacOS�����。不過運行在Windows上的客戶端無法實現(xiàn)root-kit檢測���,而其他系統(tǒng)上的客戶端都沒有問題���。OSSEC的手冊上說OSSEC目前還不支持Windows系統(tǒng)下得root-kit檢測,估計是正在開發(fā)中�。
為了測試OSSEC,我用Ubuntu 7.04搭建了一個桌面系統(tǒng)��。首先下載最新版本的OSSEC���,另外最好也下載一個校驗文件���。
- # wget http://www.ossec.net/files/ossec-hIDS-latest.tar.gz
- # wget http://www.ossec.net/files/ossec-hIDS-latest_sum.txt
校驗文件包含了 MD5和SHA1校驗和。首先遇到的問題是校驗和文件名與 OSSEC文件名不同��。我修改了校驗和文件名�����,然后測試ossec-hIDS-latest.tar.gz文件 (而不是ossec-hIDS-1.2.tar.gz)�����,MD5校驗顯示‘ok’����。
- # md5sum –c ossec-hIDS-latest.tar.gz
- ossec-hIDS-latest.tar.gz: OK
解壓后點擊安裝腳本 (./install.sh) ����,接著提示 OSSEC需要以root安裝�,接著又提示要安裝 C語言編譯器,好在很多Linux系統(tǒng)都自帶 GCC��。在安裝時得選項包括:
- ◆Local installation
- ◆/var/ossec
- ◆Yes to email notification: myemail@mydomain.com and yes to using my SMTP server
- ◆Yes to integrity check daemon
- ◆Yes to rootcheck
- ◆Active response enabled
- ◆Firewall-drop response enabled
- ◆No additions to the whitelist
設(shè)定好后���,OSSEC的編譯就可以順利進(jìn)行了����。安裝腳本會自動檢測到Ubuntu并建立正確的初始化腳本��,這是OSSEC最新添加得功能��,因為我曾經(jīng)在OSSEC的論壇上看到很多用戶都抱怨在Ubuntu下安裝不方便�。
那么我該怎么測試OSSEC呢? 首先是建立新的系統(tǒng)用戶��,這個可以被立即檢測到:
- Received From: justin-ubuntu->syscheck
- Rule: 550 fired (level 7) -> “Integrity checksum changed.”
- Portion of the log(s):
- Integrity checksum changed for: ‘/etc/passwd’
- Size changed from ‘1504′ to ‘1554′
- Old md5sum was: ‘67ddb6269b9dc8ab219f031d8eb56dde’
- New md5sum is : ‘85335133ce515223c3d4e98f64b00b2f’
- Old sha1sum was: ‘93f6de00e26f4439813694a87decf0c6d93bb5e1′
- New sha1sum is : ‘513f08859b89dd2f36e9ac4be017b92979e116a6′
我還特意輸入錯誤的密碼來測試 SSHD檢測功能�����。在經(jīng)歷了七次錯誤嘗試后�����,系統(tǒng)拒絕了我的登錄進(jìn)程��,并將用戶添加到了hosts.deny 文件:
- Received From: justin-ubuntu->/var/log/auth.log
- Rule: 5720 fired (level 10) -> “Multiple SSHD authentication failures.”
- Portion of the log(s):
- Jun 11 19:50:16 justin-ubuntu sshd[7624]: Failed password for root from 192.168.0.201 port 51239 ssh2
- Jun 11 19:49:28 justin-ubuntu sshd[7603]: Failed password for root from 192.168.0.201 port 51238 ssh2
- Jun 11 19:49:17 justin-ubuntu sshd[7597]: Failed password for root from 192.168.0.201 port 51237 ssh2
- Jun 11 19:49:05 justin-ubuntu sshd[7591]: Failed password for root from 192.168.0.201 port 51236 ssh2
- Jun 11 19:48:52 justin-ubuntu sshd[7583]: Failed password for root from 192.168.0.201 port 51235 ssh2
- Jun 11 19:48:38 justin-ubuntu sshd[7575]: Failed password for root from 192.168.0.201 port 51234 ssh2
- Jun 11 19:48:28 justin-ubuntu sshd[7569]: Failed password for root from 192.168.0.201 port 51233 ssh2
總之�����,在我看來�,OSSEC是一款不需要多少資源的很不錯的系統(tǒng)管理工具。OSSEC可以讀取Network Intrusion Detection 日志(snort) 以及 Apache和 IIS 得日志����,從而確定你的系統(tǒng)有沒有定期檢測,以及有沒有未知的入侵情況發(fā)生���。當(dāng)然��,OSSEC有一點令我不滿意��,就是它沒有GUI界面��,管理起來不太方便������?磥碇挥型ㄟ^電郵警告或者不斷查看日志得方式來判斷是否有入侵發(fā)生。另外我沒有發(fā)現(xiàn)任何有關(guān)與Nagios, Zenoss, 或Zabbix集成的信息����。
本文出自:億恩科技【www.cmtents.com】
服務(wù)器租用/服務(wù)器托管中國五強�!虛擬主機域名注冊頂級提供商!15年品質(zhì)保障�����!--億恩科技[ENKJ.COM]
|
香港服務(wù)器租用
美國服務(wù)器租用
電信骨干機房
聯(lián)通骨干機房
0371-60135900
