OSSEC HIDS：開源的基于主機的入侵檢測系統

OSSEC HIDS的主要功能有日志分析、完整性檢查、rootkit檢測、基于時間的警報和主動響應。除了具有入侵檢測系統功能外，它還一般被用在SEM/SIM（安全事件管理（SEM： Security Event Management）/安全信息管理（SIM：Security Information Management））解決方案中。因其強大的日志分析引擎，ISP（Internet service provider）（網絡服務提供商）、大學和數據中心用其監控和分析他們的防火墻、入侵檢測系統、網頁服務和驗證等產生的日志。

我們介紹了用于監視可疑網絡動作的入侵檢測系統（IDS）部署的幾種方式，其中我提到了托管方式的入侵檢測系統（HIDS），但是沒有具體舉例。

后來我偶爾發現了OSSEC HIDS。OSSEC是一款開源的入侵檢測系統，包括了日志分析，全面檢測，rook-kit檢測。作為一款HIDS，OSSEC應該被安裝在一臺實施監控的系統中。另外有時候不需要安裝完全版本得OSSEC，如果有多臺電腦都安裝了OSSEC，那么就可以采用客戶端/服務器模式來運行。客戶機通過客戶端程序將數據發回到服務器端進行分析。在一臺電腦上對多個系統進行監控對于企業或者家庭用戶來說都是相當經濟實用的。

對我來說OSSEC最大的優勢在于它幾乎可以運行在任何一種操作系統上，比如Windows, Linux, OpenBSD/FreeBSD, 以及 MacOS。不過運行在Windows上的客戶端無法實現root-kit檢測，而其他系統上的客戶端都沒有問題。OSSEC的手冊上說OSSEC目前還不支持Windows系統下得root-kit檢測，估計是正在開發中。

為了測試OSSEC，我用Ubuntu 7.04搭建了一個桌面系統。首先下載最新版本的OSSEC，另外最好也下載一個校驗文件。

# wget http://www.ossec.net/files/ossec-hIDS-latest.tar.gz  
# wget http://www.ossec.net/files/ossec-hIDS-latest_sum.txt 

校驗文件包含了 MD5和SHA1校驗和。首先遇到的問題是校驗和文件名與 OSSEC文件名不同。我修改了校驗和文件名，然后測試ossec-hIDS-latest.tar.gz文件 (而不是ossec-hIDS-1.2.tar.gz)，MD5校驗顯示‘ok’。

# md5sum –c ossec-hIDS-latest.tar.gz  
ossec-hIDS-latest.tar.gz: OK 

解壓后點擊安裝腳本 (./install.sh) ，接著提示 OSSEC需要以root安裝，接著又提示要安裝 C語言編譯器，好在很多Linux系統都自帶 GCC。在安裝時得選項包括：

◆Local installation   
◆/var/ossec   
◆Yes to email notification: myemail@mydomain.com and yes to using my SMTP server   
◆Yes to integrity check daemon   
◆Yes to rootcheck   
◆Active response enabled   
◆Firewall-drop response enabled   
◆No additions to the whitelist  

設定好后，OSSEC的編譯就可以順利進行了。安裝腳本會自動檢測到Ubuntu并建立正確的初始化腳本，這是OSSEC最新添加得功能，因為我曾經在OSSEC的論壇上看到很多用戶都抱怨在Ubuntu下安裝不方便。

那么我該怎么測試OSSEC呢？ 首先是建立新的系統用戶，這個可以被立即檢測到:

Received From: justin-ubuntu->syscheck  
Rule: 550 fired (level 7) -> “Integrity checksum changed.”  
Portion of the log(s):  
Integrity checksum changed for: ‘/etc/passwd’  
Size changed from ‘1504′ to ‘1554′  
Old md5sum was: ‘67ddb6269b9dc8ab219f031d8eb56dde’  
New md5sum is : ‘85335133ce515223c3d4e98f64b00b2f’  
Old sha1sum was: ‘93f6de00e26f4439813694a87decf0c6d93bb5e1′  
New sha1sum is : ‘513f08859b89dd2f36e9ac4be017b92979e116a6′ 

我還特意輸入錯誤的密碼來測試 SSHD檢測功能。在經歷了七次錯誤嘗試后，系統拒絕了我的登錄進程，并將用戶添加到了hosts.deny 文件:

Received From: justin-ubuntu->/var/log/auth.log  
Rule: 5720 fired (level 10) -> “Multiple SSHD authentication failures.”  
Portion of the log(s):  
Jun 11 19:50:16 justin-ubuntu sshd[7624]: Failed password for root from 192.168.0.201 port 51239 ssh2  
Jun 11 19:49:28 justin-ubuntu sshd[7603]: Failed password for root from 192.168.0.201 port 51238 ssh2  
Jun 11 19:49:17 justin-ubuntu sshd[7597]: Failed password for root from 192.168.0.201 port 51237 ssh2  
Jun 11 19:49:05 justin-ubuntu sshd[7591]: Failed password for root from 192.168.0.201 port 51236 ssh2  
Jun 11 19:48:52 justin-ubuntu sshd[7583]: Failed password for root from 192.168.0.201 port 51235 ssh2  
Jun 11 19:48:38 justin-ubuntu sshd[7575]: Failed password for root from 192.168.0.201 port 51234 ssh2  
Jun 11 19:48:28 justin-ubuntu sshd[7569]: Failed password for root from 192.168.0.201 port 51233 ssh2 

總之，在我看來，OSSEC是一款不需要多少資源的很不錯的系統管理工具。OSSEC可以讀取Network Intrusion Detection 日志(snort) 以及 Apache和 IIS 得日志，從而確定你的系統有沒有定期檢測，以及有沒有未知的入侵情況發生。當然，OSSEC有一點令我不滿意，就是它沒有GUI界面，管理起來不太方便。看來只有通過電郵警告或者不斷查看日志得方式來判斷是否有入侵發生。另外我沒有發現任何有關與Nagios, Zenoss, 或Zabbix集成的信息。

服務器租用/服務器托管中國五強！虛擬主機域名注冊頂級提供商！15年品質保障！--億恩科技[ENKJ.COM]