一、OSSEC 是什么
OSSEC 全称 Open Source HIDS SECurity,是一款开源、免费、跨平台主机入侵检测系统(HIDS)。
核心区别:不同于Snort这类NIDS网络入侵检测工具(抓取外网流量检测攻击),OSSEC直接部署在电脑、服务器本地,监控主机内部行为,专攻已经入侵到主机内部的攻击行为。
兼容系统:Linux、Windows、macOS全平台适配,一共三种部署模式:
Agent客户端:部署在被监控终端/服务器,采集本机运行数据,加密上报服务端
Server服务端:集中接收所有客户端数据、匹配安全规则、生成安全告警、统一管控全网主机
单机模式:单台主机独立部署,本地采集、本地告警,适合个人测试、单服务器防护
二、OSSEC核心功能与作用
1. FIM文件完整性监控(核心功能)
全天候监控系统关键配置、系统文件、网站源码、脚本文件变动:
文件新增、删除、修改、权限变更,实时触发告警
防护黑客篡改网页、篡改hosts、系统用户配置文件
满足网站防篡改、网络安全等级保护硬性合规要求
2. 全量日志实时审计溯源
自动采集系统日志并匹配攻击特征,实现入侵溯源:
Linux端:监控SSH远程登录、sudo权限提权、系统账号登录日志
Windows端:监控远程桌面RDP登录、CMD/PowerShell命令执行、系统登录日志
可识别密码暴力破解、异地管理员登录、恶意命令执行、后门植入行为
3. Windows注册表专项监控
属于Windows服务器专属防护功能,重点监控注册表开机启动项、系统服务、登录脚本:木马、病毒大多通过修改注册表实现开机自启、持久化驻留主机,一旦注册表键值新增、篡改,平台立即告警,拦截常驻后门。
4. Rootkit隐匿木马检测
定期扫描主机隐藏文件、隐藏进程、内核级后门,能够识别普通杀毒软件无法检测的Rootkit深层恶意程序,排查主机隐匿入侵痕迹。
5. Active Response主动联动防御
平台识别攻击后,无需人工操作,自动执行防御阻断:
拦截SSH、远程桌面暴力破解,自动拉黑攻击IP
联动系统防火墙封禁恶意访问端口
限制可疑违规账号登录主机
6. 账号权限行为监控
实时监测主机新增管理员账号、账号权限提权、异常远近程登录行为,及时发现内网越权操作、账号劫持盗取行为。
7. 安全合规审计
长期留存主机操作日志、文件变更日志、登录审计记录,满足等保、PCI-DSS行业合规要求,所有入侵、操作行为可取证、可追溯。
三、适用使用场景
企业内网大批量Windows、Linux服务器集中安全管控
门户网站、业务服务器源码防篡改防护
零成本搭建开源主机安全平台,替代轻量化商用EDR安全工具
云服务器、内网终端入侵检测、日志集中汇总管理
服务器中毒、被入侵后的行为溯源、安全取证
四、OSSEC优缺点汇总
优点
完全开源免费,无商业授权费用,中小企业零成本部署
占用主机CPU、内存资源极低,不影响服务器业务运行
跨平台兼容,统一管控Linux、Windows异构主机
安全规则可自定义,管理员可自主新增恶意行为检测规则
架构中心化,所有主机告警、日志统一后台查看管理
缺点
无独立病毒查杀引擎,无法替代杀毒软件,仅检测不深度查杀
自带Web可视化界面简陋,操作便捷度弱于商用EDR
主动防御能力有限,无法应对APT复合型高级网络攻击
适配体量有限,上千台终端大规模集群运维性能不足
五、核心概念区分:HIDS与NIDS
NIDS网络入侵检测(代表工具:Snort):监听网卡外网流量,拦截外网还未进入主机的攻击流量
HIDS主机入侵检测(代表工具:OSSEC):驻扎主机内部,监控文件、进程、注册表、操作日志,检测已经攻入主机的内部攻击
专业内网防护建议:NIDS+OSSEC搭配部署,内外联动防护安全性最高。
六、如何安装OSSEC
我们可以访问ossec官网 www.ossec.net

点击Download OSSEC
我们能够看到有三个不同的版本

我们选择第一个进行实验

点击后我们往下滑能够看到有很多不同系统安装ossec的分类标签,我们选择使用Ubuntu来进行示范
选择Ubuntu

第 1 条:添加 OSSEC 官方 APT 源 所有 Ubuntu 机器(服务端、客户端都必须执行这一步)
第 2 条:更新软件源缓存
作用:刷新本地软件包索引,让系统识别刚刚新增的安装包。执行完第一条后执行第二条。
第 3 条:安装 OSSEC 服务端 Server
单独一台 Ubuntu 管理服务器(中心节点),用来:
接收所有客户端 Agent 上传的日志、文件监控数据
统一生成安全告警、管理所有客户端密钥
提供主动防御(暴力破解拉黑 IP)、日志存储功能
第 4 条:安装 OSSEC 客户端 Agent
所有被监控的 Ubuntu 业务服务器、内网主机,功能仅为: 采集本机登录日志、文件变更、进程信息,加密上传到 Server 服务端,不能单独做管理中心。
七、OSSEC 服务端 Server 安装启动
wget -q -O - https://updates.atomicorp.com/installers/atomic | sudo bash默认回车

# Update apt data
sudo apt-get update
# Server
sudo apt-get install ossec-hids-server 点击Y回车
为了方便后续操作我们先进行提权
sudo -i 提权提权前后的变化

安装vim编辑器
apt install vim 点击Y回车
vim /var/ossec/etc/ossec.conf点击 i 编辑 把yes改为no
因为没有设置email,为了防止启动失败影响后续实验先给它关掉。

编辑好后点击esc ,输入“:wq”进行保存,强制保存在wq后面加感叹号!
开启ossec服务
/var/ossec/bin/ossec-control start(开启) -----------------------------status(查看) 
查看ossec服务

显示的是running,表示正在运行。服务启动正常。
常用查看命令
# 查看OSSEC运行状态
sudo /var/ossec/bin/ossec-control status
# 实时查看告警日志
tail -f /var/ossec/logs/alerts/alerts.log
# 查看系统监控日志
tail -f /var/ossec/logs/ossec.log
# 管理agent(增删改查)
sudo /var/ossec/bin/manage_agents