/ 网络安全 服务器 / 3浏览

基于 Ubuntu 系统的 OSSEC 服务端安装配置与功能详解

一、OSSEC 是什么

OSSEC 全称 Open Source HIDS SECurity,是一款开源、免费、跨平台主机入侵检测系统(HIDS)

核心区别:不同于Snort这类NIDS网络入侵检测工具(抓取外网流量检测攻击),OSSEC直接部署在电脑、服务器本地,监控主机内部行为,专攻已经入侵到主机内部的攻击行为。

兼容系统:Linux、Windows、macOS全平台适配,一共三种部署模式:

  1. Agent客户端:部署在被监控终端/服务器,采集本机运行数据,加密上报服务端

  2. Server服务端:集中接收所有客户端数据、匹配安全规则、生成安全告警、统一管控全网主机

  3. 单机模式:单台主机独立部署,本地采集、本地告警,适合个人测试、单服务器防护

二、OSSEC核心功能与作用

1. FIM文件完整性监控(核心功能)

全天候监控系统关键配置、系统文件、网站源码、脚本文件变动:

  • 文件新增、删除、修改、权限变更,实时触发告警

  • 防护黑客篡改网页、篡改hosts、系统用户配置文件

  • 满足网站防篡改、网络安全等级保护硬性合规要求

2. 全量日志实时审计溯源

自动采集系统日志并匹配攻击特征,实现入侵溯源:

  • Linux端:监控SSH远程登录、sudo权限提权、系统账号登录日志

  • Windows端:监控远程桌面RDP登录、CMD/PowerShell命令执行、系统登录日志

  • 可识别密码暴力破解、异地管理员登录、恶意命令执行、后门植入行为

3. Windows注册表专项监控

属于Windows服务器专属防护功能,重点监控注册表开机启动项、系统服务、登录脚本:木马、病毒大多通过修改注册表实现开机自启、持久化驻留主机,一旦注册表键值新增、篡改,平台立即告警,拦截常驻后门。

4. Rootkit隐匿木马检测

定期扫描主机隐藏文件、隐藏进程、内核级后门,能够识别普通杀毒软件无法检测的Rootkit深层恶意程序,排查主机隐匿入侵痕迹。

5. Active Response主动联动防御

平台识别攻击后,无需人工操作,自动执行防御阻断:

  • 拦截SSH、远程桌面暴力破解,自动拉黑攻击IP

  • 联动系统防火墙封禁恶意访问端口

  • 限制可疑违规账号登录主机

6. 账号权限行为监控

实时监测主机新增管理员账号、账号权限提权、异常远近程登录行为,及时发现内网越权操作、账号劫持盗取行为。

7. 安全合规审计

长期留存主机操作日志、文件变更日志、登录审计记录,满足等保、PCI-DSS行业合规要求,所有入侵、操作行为可取证、可追溯。

三、适用使用场景

  1. 企业内网大批量Windows、Linux服务器集中安全管控

  2. 门户网站、业务服务器源码防篡改防护

  3. 零成本搭建开源主机安全平台,替代轻量化商用EDR安全工具

  4. 云服务器、内网终端入侵检测、日志集中汇总管理

  5. 服务器中毒、被入侵后的行为溯源、安全取证

四、OSSEC优缺点汇总

优点

  1. 完全开源免费,无商业授权费用,中小企业零成本部署

  2. 占用主机CPU、内存资源极低,不影响服务器业务运行

  3. 跨平台兼容,统一管控Linux、Windows异构主机

  4. 安全规则可自定义,管理员可自主新增恶意行为检测规则

  5. 架构中心化,所有主机告警、日志统一后台查看管理

缺点

  1. 无独立病毒查杀引擎,无法替代杀毒软件,仅检测不深度查杀

  2. 自带Web可视化界面简陋,操作便捷度弱于商用EDR

  3. 主动防御能力有限,无法应对APT复合型高级网络攻击

  4. 适配体量有限,上千台终端大规模集群运维性能不足

五、核心概念区分:HIDS与NIDS

  • NIDS网络入侵检测(代表工具:Snort):监听网卡外网流量,拦截外网还未进入主机的攻击流量

  • HIDS主机入侵检测(代表工具:OSSEC):驻扎主机内部,监控文件、进程、注册表、操作日志,检测已经攻入主机的内部攻击

专业内网防护建议:NIDS+OSSEC搭配部署,内外联动防护安全性最高。

六、如何安装OSSEC

我们可以访问ossec官网 www.ossec.net

点击Download OSSEC

我们能够看到有三个不同的版本

项目

OSSEC(开源免费)

OSSEC+(增强免费)

Atomic OSSEC(商业 EDR)

版本

v4.0.0

v4.0.0

v7.0.0

费用

完全免费

免费(需注册)

按 Agent 按月付费

下载门槛

无需注册,直接下

必须注册账号

不可直接下载,预约销售

规则库

基础少量规则

数百条扩展规则 + 机器学习

全套企业级威胁规则库

产品类型

开源 HIDS 主机入侵检测

增强版开源 HIDS

商用完整 EDR 终端安全平台

技术支持

社区论坛自助

社区基础支持

官方人工售后、技术服务

合规能力

基础日志留存,勉强满足合规

完善审计日志

一体化合规解决方案

高级防御

简易 IP 拉黑响应

基础自动防御

全链路终端响应、漏洞防护

我们选择第一个进行实验

点击后我们往下滑能够看到有很多不同系统安装ossec的分类标签,我们选择使用Ubuntu来进行示范

选择Ubuntu

第 1 条:添加 OSSEC 官方 APT 源 所有 Ubuntu 机器(服务端、客户端都必须执行这一步)

第 2 条:更新软件源缓存

作用:刷新本地软件包索引,让系统识别刚刚新增的安装包。执行完第一条后执行第二条。

第 3 条:安装 OSSEC 服务端 Server

单独一台 Ubuntu 管理服务器(中心节点),用来:

  • 接收所有客户端 Agent 上传的日志、文件监控数据

  • 统一生成安全告警、管理所有客户端密钥

  • 提供主动防御(暴力破解拉黑 IP)、日志存储功能

第 4 条:安装 OSSEC 客户端 Agent

所有被监控的 Ubuntu 业务服务器、内网主机,功能仅为: 采集本机登录日志、文件变更、进程信息,加密上传到 Server 服务端,不能单独做管理中心

七、OSSEC 服务端 Server 安装启动

wget -q -O - https://updates.atomicorp.com/installers/atomic | sudo bash

默认回车

 

    

# Update apt data

sudo apt-get update

  

# Server

sudo apt-get install ossec-hids-server      点击Y回车

为了方便后续操作我们先进行提权

sudo -i  提权

提权前后的变化

安装vim编辑器

apt install vim   点击Y回车
vim /var/ossec/etc/ossec.conf

点击 i 编辑 把yes改为no

因为没有设置email,为了防止启动失败影响后续实验先给它关掉。

 

编辑好后点击esc ,输入“:wq”进行保存,强制保存在wq后面加感叹号!

开启ossec服务

/var/ossec/bin/ossec-control start(开启)          -----------------------------status(查看) 

查看ossec服务

显示的是running,表示正在运行。服务启动正常。

常用查看命令

# 查看OSSEC运行状态
sudo /var/ossec/bin/ossec-control status

# 实时查看告警日志
tail -f /var/ossec/logs/alerts/alerts.log

# 查看系统监控日志
tail -f /var/ossec/logs/ossec.log

# 管理agent(增删改查)
sudo /var/ossec/bin/manage_agents

常用配置文件路径

文件 / 目录

路径

用途

主配置

/var/ossec/etc/ossec.conf

全局功能配置

客户端密钥

/var/ossec/etc/client.keys

Agent 认证密钥

自定义规则

/var/ossec/etc/rules/local_rules.xml

自定义检测规则

告警日志

/var/ossec/logs/alerts/alerts.log

安全事件告警

程序运行日志

/var/ossec/logs/ossec.log

服务排错

主动响应脚本

/var/ossec/active-response/bin/

自动拉黑 IP 等防御

Agent 管理工具

/var/ossec/bin/manage_agents

添加 / 删除客户端

Peregrine
腾讯云CDN配置
Snort 规则选项入门