前言
HIDS全称是Host-based Intrusion Detection System,即基于主机型入侵检测系统。作为一款HIDS,应当包括了主机重要日志分析,重要系统文件完整性检查,root-kit检测等功能。
国外开源HIDS产品
Ossec是著名的开源的多平台入侵检测系统。而在生产环境中,很多同学会使用基于ossec的扩展wazuh建立主机入侵检测体系。其功能强大,但是对技术栈要求较高,然而wazuh并非文章主角。
国内开源HIDS产品
国内HIDS终于有牛逼的开源产品了!
驭龙HIDS是一款免费开源的入侵检测系统,由Agent,Daemon和Server组成,集异常检测、监控管理为一体,拥有异常行为发现、快速阻断、高级分析等功能,可从多个维度行为信息中发现入侵行为。
YuLong部署流程
部署流程必须按照顺序执行:
- Linux安装libpcap,windows安装winpcap
- 部署数据库Mongodb(3.x)、Elasticsearch(5.x)
- 启动mongo、elasticsearch
- 修改web的配置,启动web,根据提示初始化数据库、规则等(web界面)
- 启动server(Hids的服务端)
- 部署agent,启动agent(Hids的客户端)
启动数据库
Elasticsearch部署
部署elasticsearch、kibana,不熟悉ELK的同学可参考 ELK部署
配置文件 config/elasticsearch.yml 简单版参考:
cluster.name: es-cluster
node.name: es-001
bootstrap.system_call_filter: false
network.host: 0.0.0.0
network.publish_host: 0.0.0.0
使用非root权限启动elasticsearch,在es目录下执行命令 bin/elasticsearch
9200、9300端口成功启动后,表示elasticsearch正常运行
后台运行es:
bin/elasticsearch -d
Mongo部署
根据对应系统版本下载mongo,mongo官网
创建db目录 /data/hids/db/ , 创建数据库日志文件 /data/hids/log/mongo.log
在mongo目录下,执行命令 bin/mongod --dbpath /data/hids/db/ --logpath /data/hids/log/mongo.log
27017端口成功启动后,表示mongodb正常运行
后台启动mongo:
bin/mongod --dbpath /data/hids/db/ --logpath /data/hids/log/mongo.log --fork
启动web
修改conf/app.conf文件
快速修改密码配置,执行命令 md5 -s xxxxx
修改二次认证配置,执行命令
python2 -c "import base64, random, string;print(base64.b32encode(''.join([random.choice(string.printable) for _ in range(35)]).encode()));"
注意:这里的二次认证需要配合Google Authenticator (一款APP)
修改数据库配置: mongodb、elasticsearch配置填内网IP(不能为127.0.0.1,localhost等)
注意 在启动web前,先确认elasticsearch是否能正常连通。
查看es状态:curl -XGET -s "http://localhost:9200/_cluster/health?pretty"
添加web执行权限,chmod +x web/web
执行命令 ./web 启动web界面。
后台运行:
nohup ./web &
初始化规则
复制粘贴 rules.json 文件内容
启动server
添加server执行权限:chmod +x server
启动server: ./server -db mongodbIP:27017 -es elasticIP:9200
后台启动
nohup ./server -db mongodbIP:27017 -es elasticIP:9200 &
确认本地http、https端口正常启动,本地TCP端口33433正常启动。
部署agent
linux-64 agent部署安装
使用root权限执行
wget -O /tmp/daemon http://SERVER_IP:80/json/download?type=daemon\&system=linux\&platform=64\&action=download;chmod +x /tmp/daemon;/tmp/daemon -install -netloc SERVER_IP:443
如果更改了80和443端口,需要对应填写
windows-64 agent部署安装
使用管理员cmd执行命令
cd %SystemDrive% & certutil -urlcache -split -f http://SERVER_IP:80/json/download?type=daemon^&system=windows^&platform=64^&action=download daemon.exe & daemon.exe -netloc SERVER_IP:443 -install
使用ansible批量部署参考
playbook: deploy_yulong
---
- hosts: all
remote_user: root
tasks:
- name: wget agent
shell: wget -O /tmp/daemon http://SERVER_IP:80/json/download?type=daemon\&system=linux\&platform=64\&action=download;chmod +x /tmp/daemon;/tmp/daemon -install -netloc SERVER_IP:443
- name: start agent
service: name=yulong-hids state=started
hosts: yulong-hosts
根据业务编写响应的hosts即可
最后,执行命令
ansible-playbook deploy_yulong -i yulong-hosts
其他注意事项
若规则不生效、网络连通问题,可使用agent debug模式查看信息,执行
/usr/yulong-hids/agent SERVER_IP debug使用kibana添加索引monitor,elastisearch的索引名称为
monitor*。server、agent服务器时间同步。
关闭观察模式后,才会出现相应的告警信息。
部署上驭龙HIDS后,运行一周测试发现es的日志量不少(主要都是web业务机器产生的日志),在部署测试期间建议选取流量较小的服务器进行测试。
简单规则
在生产业务中,应用配置是重要监控对象,可编写规则监控应用配置变化。
如监控nginx、tomcat配置变化
{
"and": true,
"enabled": true,
"meta": {
"author": "Superhua",
"description": "生产配置是否被修改",
"level": 0,
"name": "应用配置异常修改"
},
"rules": {
"action": {
"data": "WRITE",
"type": "string"
},
"path": {
"data": "\\/ops\\/conf\\/|\\/ops\\/conf\\/.*?nginx.*?\\/|\\/ops\\/conf\\/.*?tomcat.*?\\/",
"type": "regex"
}
},
"source": "file",
"system": "all"
}
同时需要在 设置 -> CLIENT 中添加监控路径
/ops/conf/*
规则生效后,配置文件被修改可在告警界面查看相应告警。
如生产系统使用ssh公钥登录,那么可以编写规则监测公钥目录是否被修改。
总结
从部署到简单测试,给驭龙提出不少建议(大佬wolf修改非常迅猛,赞)。个人认为,简单的部署方式及规则配置、告警展示更适合国人的使用习惯。
安全防护建议:
使用iptables限制mongo的访问,拒绝一切mongo访问。
使用安全插件防护elasticsearch。
