Linux入侵检测系统IDS的安装与配置
一、IDS概述
在安全防御体系中,如果缺少有效的入侵检测,很容易造成不法人员的大范围入侵,为企业信息安全带来巨大的损失。而入侵检测系统(Intrusion Detection System)对入侵中或入侵后进行监控与报警,为安全防御体系提供了不可或缺的监控能力。
IDS依照预先设定的安全策略,通过软件和硬件,对网络和系统的运行状况进行监视,尽可能早的发现各种攻击企图、攻击行为和攻击结果。以保证网络系统资源的机密性、完整性和可靠性。
二、IDS的下载
这里笔者通过CentOS 7 ,为大家演示单机版的IDS安装配置过程。
IDS的安装,需要C编译器。所以,我们需要安装gcc
yum install -y gcc inotify-tools bind-utils
安装完成后,我们就可以下载IDS了。
我们通过以下命令,下载IDS归档文件。
wget -O ossec.2.9.3.tar.gz https://github.com/ossec/ossec-hids/archive/2.9.3.tar.gz
下载完成后,
通过
tar -zxvf ossec.2.9.3.tar.gz
对文档进行解压。
三、IDS的安装
本例中,是将文件解压到/usr/src中,解压完成后,进入文件夹
通过
./install.sh
对文件进行安装。
选择[cn],进行中文安装后,就会询问是否安装gcc编译器。
在文档开始时,已经安装了gcc,所有我们按enter继续。
选项1,这里我们安装的时单机版IDS则选择了local,如果是安装服务器版,或者agent版,根据需要进行安装。
选项2,未修改安装路径,则默认/var/ossec
选项3.1,一般来说需要事前配置邮件服务器,选择y。这里笔者没有,则选择n。
这里,如果安装的是服务器版,需要在联动功能默认白名单添加agent的IP地址。
通过以上选项,进行安装前的配置。
完成后,按enter进行安装,等待安装结束。
出现以下界面,则表示已经安装完成。
四、IDS配置
安装完成后,若是安装的服务器版本和agent版本,需要进行联动。
通过命令
/var/ossec/bin/manage_agents
出现以下界面
这里,如果服务器版本需要添加agent,选择A。删除agent选择R。
正常操作需要点击E生成**(这里推荐通过xshell进行登录配置,因为**很长,xshell可以进行复制操作)
而agent版本需要选择L,验证**,进行联动操作。
而笔者这里选择的单机版,则不需要进行以上操作。
在启动服务之前,我们需要在/var/ossec/etc/sharded中创建agent.conf文件,可以在文件中进行简单的配置。
<agent_config>
<localfile>
<location>/var/log/my.log</location>
<log_format>syslog</log_format>
</localfile>
</agent_config>
保存退出后,就可以通过
/var/ossec/bin/ossec-control start
启动ossec了。
此时,在安装前,已经进行相当完整的配置了。
还需要修改的是,/安装目录下/etc/ossec.conf 文件中
这里默认的是22小时,这中频率对于入侵检测极为不合理,通常改为5-10分钟即可。
这里对文件中的信息,进行一个简单的介绍。
| <global> | 全局配置 |
| <alerts> | 邮件和日志报警选项 |
| <email_alerts> | 详细邮件配置文件 |
| <remote> | 该选项指server端配置 |
| <database_oitput> | 数据库输出选项 |
| <rules> | 包含规则列表 |
| <client> | agent有关配置文件 |
| <localfile> | 日志文件监控配置选项 |
| syscheck | 系统检查配置文件选项 |
| <rootcheck> | rootkit发现和规则监控选项 |
| <command> | 主机响应配置选项 |
| <active-response> | 恶意主机响应配置选项 |
最后通过/var/ossec/bin/ossec-control start启动服务。
所有的警告都会存放于/var/ossec/logs/alerts,以时间命名的文件夹下。