Linux入侵检测系统IDS的安装与配置
一、IDS概述
在安全防御体系中,如果缺少有效的入侵检测,很容易造成不法人员的大范围入侵,为企业信息安全带来巨大的损失。而入侵检测系统(Intrusion Detection System)对入侵中或入侵后进行监控与报警,为安全防御体系提供了不可或缺的监控能力。
IDS依照预先设定的安全策略,通过软件和硬件,对网络和系统的运行状况进行监视,尽可能早的发现各种攻击企图、攻击行为和攻击结果。以保证网络系统资源的机密性、完整性和可靠性。
二、IDS的下载
这里笔者通过CentOS 7 ,为大家演示单机版的IDS安装配置过程。
IDS的安装,需要C编译器。所以,我们需要安装gcc
yum install -y gcc inotify-tools bind-utils
安装完成后,我们就可以下载IDS了。
我们通过以下命令,下载IDS归档文件。
wget -O ossec.2.9.3.tar.gz https://github.com/ossec/ossec-hids/archive/2.9.3.tar.gz
下载完成后,
通过
tar -zxvf ossec.2.9.3.tar.gz
对文档进行解压。
三、IDS的安装
本例中,是将文件解压到/usr/src中,解压完成后,进入文件夹
通过
./install.sh
对文件进行安装。
选择[cn],进行中文安装后,就会询问是否安装gcc编译器。
在文档开始时,已经安装了gcc,所有我们按enter继续。
选项1,这里我们安装的时单机版IDS则选择了local,如果是安装服务器版,或者agent版,根据需要进行安装。
选项2,未修改安装路径,则默认/var/ossec
选项3.1,一般来说需要事前配置邮件服务器,选择y。这里笔者没有,则选择n。
这里,如果安装的是服务器版,需要在联动功能默认白名单添加agent的IP地址。
通过以上选项,进行安装前的配置。
完成后,按enter进行安装,等待安装结束。
出现以下界面,则表示已经安装完成。
四、IDS配置
安装完成后,若是安装的服务器版本和agent版本,需要进行联动。
通过命令
/var/ossec/bin/manage_agents
出现以下界面
这里,如果服务器版本需要添加agent,选择A。删除agent选择R。
正常操作需要点击E生成密钥(这里推荐通过xshell进行登录配置,因为密钥很长,xshell可以进行复制操作)
而agent版本需要选择L,验证密钥,进行联动操作。
而笔者这里选择的单机版,则不需要进行以上操作。
在启动服务之前,我们需要在/var/ossec/etc/sharded中创建agent.conf文件,可以在文件中进行简单的配置。
<agent_config>
<localfile>
<location>/var/log/my.log</location>
<log_format>syslog</log_format>
</localfile>
</agent_config>
保存退出后,就可以通过
/var/ossec/bin/ossec-control start
启动ossec了。
此时,在安装前,已经进行相当完整的配置了。
还需要修改的是,/安装目录下/etc/ossec.conf 文件中
这里默认的是22小时,这中频率对于入侵检测极为不合理,通常改为5-10分钟即可。
这里对文件中的信息,进行一个简单的介绍。
| <global> | 全局配置 |
| <alerts> | 邮件和日志报警选项 |
| <email_alerts> | 详细邮件配置文件 |
| <remote> | 该选项指server端配置 |
| <database_oitput> | 数据库输出选项 |
| <rules> | 包含规则列表 |
| <client> | agent有关配置文件 |
| <localfile> | 日志文件监控配置选项 |
| syscheck | 系统检查配置文件选项 |
| <rootcheck> | rootkit发现和规则监控选项 |
| <command> | 主机响应配置选项 |
| <active-response> | 恶意主机响应配置选项 |
最后通过/var/ossec/bin/ossec-control start启动服务。
所有的警告都会存放于/var/ossec/logs/alerts,以时间命名的文件夹下。
Linux入侵检测系统IDS的安装与配置相关推荐
- 入侵检测系统Snort的安装、配置与测试(转载)
https://www.cnblogs.com/thresh/p/12019466.html 红色部分是坑 在Ubuntu 16.04下安装snort 在配置过程中,需要弄清楚snort的数据流 ...
- 侵检测系统Snort的安装、配置与测试
入侵检测系统Snort的安装.配置与测试 文章链接:安装比较详细的博客 注意:snort只能抓取你自己网卡,所以snort只能嗅探本机服务器,无法嗅探其他服务器,请熟知 1.1首先,新建一个文件夹来保 ...
- [网络工程师]-防火墙-入侵检测系统IDS
入侵检测是一种主动保护自己免受攻击的网络安全技术.作为防火墙的合理补充,入侵检测技术能够帮助系统对付网络攻击,扩展了系统管理员的安全能力(包括安全审计.监视.攻击识别和响应),提高了信息安全基础结构的 ...
- snort入侵检测系统下载Linux,入侵检测系统Snort 2.9.0.2 发布
Snort 是一个免费的.跨平台的软件包,用作监视小型 TCP/IP 网的嗅探器.日志记录.侵入探测器.Snort 是全世界上使用最广泛的入侵预防与侦测软件. Snort 有三种工作模式:嗅探器.数据 ...
- 入侵检测系统IDS工作原理笔记
入侵检测(Intrusion Detection):通过从计算机网络或计算机系统关键点收集信息并进行分析,从中发现网络或系统中是否违反安全策略的性能更为和被攻击的迹象. 入侵检测系统(IDS):入侵检 ...
- 入侵检测系统IDS介绍
入侵检测系统 背景 近年来,随着信息和网络技术的高速发展以及其它的一些利益的驱动,计算机和网络基础设施,特别是各种官方机构网站成为黑客攻击的目标,近年来由于对电子商务的热切需求,更加激化了各种入侵事件 ...
- snort create_mysql_入侵检测系统Snort+Base安装
安装一些支持库 tar -zxvf zlib-1.2.3.tar.gz cd zlib-1.2.3 ./configure make make install cd .. tar -zxvf libp ...
- 网络安全-防火墙与入侵检测系统
防火墙效率 吞吐量:指防火墙在不丢失数据包的情况下能达到的最大的转发数据报的速率. 时延:能够衡量出防火墙处理数据的快慢. 丢包率:在特定负载下,指应由网络设备传输,但由资源耗尽而丢弃帧的百分比. 背 ...
- linux 进程suricata,如何在 Linux 系统上安装 Suricata 入侵检测系统
随着安全威胁的不断发生,入侵检测系统(IDS)在如今的数据中心环境中显得尤为必要.然而,随着越来越多的服务器将他们的网卡升级到10GB/40GB以太网,对如此线路上的硬件进行计算密集型的入侵检测越来越 ...
最新文章
- ecshop手机端html,ECSHOP手机版本的head标题的修改方法分享
- CSS 实现三角形、梯形、等腰梯形
- Linux 桌面玩家指南:09. X Window 的奥秘
- 你不必害怕,岁月有的是时间让你遇见更好的人(沈善书)
- 《汇编语言》王爽—第八章实验七详解
- 物联网-移远M26模块MQTT开发(AT命令)
- 力扣题目——1557. 可以到达所有点的最少点数目
- MySQL的详细安装教程和配置过程(附安装包)
- 构建多基因的系统发育树
- 【PMP】PMBOK 笔记 第10章 项目沟通管理
- 循环结构:while和do...while循环语句
- c++编程简易计算器、JavaScript游戏
- windows下Ardupilot编译环境搭建
- 测试用例和bug描述规范参考
- 数据结构:静动图结合,活灵活现 讲解—— 堆排序, 直接选择排序
- VR全景拍摄结合更多的市场刚需,为云端生活赋能
- Ubuntu中如何进入recovery 模式
- 计算机进制单位tb以上,计算机容量单位的换算 B,KB,MB,GB,TB
- 几种趋势指标的测试结论
- C#编码格式转换,Url,escape,unicode编码和解码