转载自：https://www.jianshu.com/p/6f1e49d80beb

前言

HIDS全称是Host-based Intrusion Detection System，即基于主机型入侵检测系统。作为一款HIDS，应当包括了主机重要日志分析，重要系统文件完整性检查，root-kit检测等功能。

国外开源HIDS产品

Ossec是著名的开源的多平台入侵检测系统。而在生产环境中，很多同学会使用基于ossec的扩展wazuh建立主机入侵检测体系。其功能强大，但是对技术栈要求较高，然而wazuh并非文章主角。

国内开源HIDS产品

国内HIDS终于有牛逼的开源产品了！

驭龙HIDS是一款免费开源的入侵检测系统，由Agent，Daemon和Server组成，集异常检测、监控管理为一体，拥有异常行为发现、快速阻断、高级分析等功能，可从多个维度行为信息中发现入侵行为。

YuLong部署流程

部署流程必须按照顺序执行：

1. Linux安装libpcap，windows安装winpcap
2. 部署数据库Mongodb(3.x)、Elasticsearch(5.x)
3. 启动mongo、elasticsearch
4. 修改web的配置，启动web，根据提示初始化数据库、规则等（web界面）
5. 启动server（Hids的服务端）
6. 部署agent，启动agent（Hids的客户端）

启动数据库

Elasticsearch部署

部署elasticsearch、kibana，不熟悉ELK的同学可参考 ELK部署

配置文件 config/elasticsearch.yml 简单版参考：

cluster.name: es-cluster
node.name: es-001bootstrap.system_call_filter: falsenetwork.host: 0.0.0.0
network.publish_host: 0.0.0.0

使用非root权限启动elasticsearch，在es目录下执行命令 bin/elasticsearch

9200、9300端口成功启动后，表示elasticsearch正常运行

后台运行es：

bin/elasticsearch -d

Mongo部署

根据对应系统版本下载mongo，mongo官网

创建db目录 /data/hids/db/ ， 创建数据库日志文件 /data/hids/log/mongo.log

在mongo目录下，执行命令 bin/mongod --dbpath /data/hids/db/ --logpath /data/hids/log/mongo.log

27017端口成功启动后，表示mongodb正常运行

后台启动mongo：

bin/mongod --dbpath /data/hids/db/ --logpath /data/hids/log/mongo.log --fork

启动web

修改conf/app.conf文件

快速修改密码配置，执行命令 md5 -s xxxxx

修改二次认证配置，执行命令

python2 -c "import base64, random, string;print(base64.b32encode(''.join([random.choice(string.printable) for _ in range(35)]).encode()));"

注意：这里的二次认证需要配合Google Authenticator （一款APP）

修改数据库配置： mongodb、elasticsearch配置填内网IP（不能为127.0.0.1，localhost等）

注意 在启动web前，先确认elasticsearch是否能正常连通。
查看es状态：curl -XGET -s "http://localhost:9200/_cluster/health?pretty"

添加web执行权限，chmod +x web/web

执行命令 ./web 启动web界面。

后台运行：nohup ./web &

初始化规则

复制粘贴 rules.json 文件内容

启动server

添加server执行权限：chmod +x server

启动server： ./server -db mongodbIP:27017 -es elasticIP:9200

后台启动 nohup ./server -db mongodbIP:27017 -es elasticIP:9200 &

确认本地http、https端口正常启动，本地TCP端口33433正常启动。

部署agent

linux-64 agent部署安装

使用root权限执行

wget -O /tmp/daemon http://SERVER_IP:80/json/download?type=daemon\&system=linux\&platform=64\&action=download;chmod +x /tmp/daemon;/tmp/daemon -install -netloc SERVER_IP:443

如果更改了80和443端口，需要对应填写

windows-64 agent部署安装

使用管理员cmd执行命令

cd %SystemDrive% & certutil -urlcache -split -f http://SERVER_IP:80/json/download?type=daemon^&system=windows^&platform=64^&action=download daemon.exe & daemon.exe -netloc SERVER_IP:443 -install

使用ansible批量部署参考

playbook: deploy_yulong

---
- hosts: allremote_user: roottasks:- name: wget agentshell: wget -O /tmp/daemon http://SERVER_IP:80/json/download?type=daemon\&system=linux\&platform=64\&action=download;chmod +x /tmp/daemon;/tmp/daemon -install -netloc SERVER_IP:443- name: start agentservice: name=yulong-hids state=started

hosts: yulong-hosts

根据业务编写响应的hosts即可

最后，执行命令

ansible-playbook deploy_yulong -i yulong-hosts

其他注意事项

• 若规则不生效、网络连通问题，可使用agent debug模式查看信息，执行 /usr/yulong-hids/agent SERVER_IP debug

• 使用kibana添加索引monitor，elastisearch的索引名称为 monitor* 。

• server、agent服务器时间同步。

• 关闭观察模式后，才会出现相应的告警信息。

• 部署上驭龙HIDS后，运行一周测试发现es的日志量不少（主要都是web业务机器产生的日志），在部署测试期间建议选取流量较小的服务器进行测试。

驭龙HIDS界面

简单规则

在生产业务中，应用配置是重要监控对象，可编写规则监控应用配置变化。

如监控nginx、tomcat配置变化

{"and": true,"enabled": true,"meta": {"author": "Superhua","description": "生产配置是否被修改","level": 0,"name": "应用配置异常修改"},"rules": {"action": {"data": "WRITE","type": "string"},"path": {"data": "\\/ops\\/conf\\/|\\/ops\\/conf\\/.*?nginx.*?\\/|\\/ops\\/conf\\/.*?tomcat.*?\\/","type": "regex"}},"source": "file","system": "all"
}

同时需要在 设置 -> CLIENT 中添加监控路径

/ops/conf/*

规则生效后，配置文件被修改可在告警界面查看相应告警。

如生产系统使用ssh公钥登录，那么可以编写规则监测公钥目录是否被修改。

总结

从部署到简单测试，给驭龙提出不少建议（大佬wolf修改非常迅猛，赞）。个人认为，简单的部署方式及规则配置、告警展示更适合国人的使用习惯。

安全防护建议：

• 使用iptables限制mongo的访问，拒绝一切mongo访问。

• 使用安全插件防护elasticsearch。