必威体育Betway必威体育官网
当前位置:首页 > IT技术

驭龙HIDS的简介,它开源了

时间:2019-09-19 04:10:00来源:IT技术作者:seo实验室小编阅读:81次「手机版」
 

驭龙

转载自:https://www.jianshu.com/p/6f1e49d80beb

前言

HIDS全称是Host-based Intrusion Detection System,即基于主机型入侵检测系统。作为一款HIDS,应当包括了主机重要日志分析,重要系统文件完整性检查,root-kit检测等功能。

国外开源HIDS产品

Ossec是著名的开源的多平台入侵检测系统。而在生产环境中,很多同学会使用基于ossec的扩展wazuh建立主机入侵检测体系。其功能强大,但是对技术栈要求较高,然而wazuh并非文章主角。

国内开源HIDS产品

国内HIDS终于有牛逼的开源产品了!

驭龙HIDS是一款免费开源的入侵检测系统,由AgentDaemonServer组成,集异常检测、监控管理为一体,拥有异常行为发现、快速阻断、高级分析等功能,可从多个维度行为信息中发现入侵行为。

YuLong部署流程

部署流程必须按照顺序执行:

  1. linux安装libpcap,windows安装winpcap
  2. 部署数据库Mongodb(3.x)、elasticsearch(5.x)
  3. 启动mongo、elasticsearch
  4. 修改web的配置,启动web,根据提示初始化数据库、规则等(web界面)
  5. 启动server(Hids的服务端)
  6. 部署agent,启动agent(Hids的客户端)

启动数据库

Elasticsearch部署

部署elasticsearch、kibana,不熟悉ELK的同学可参考 ELK部署

配置文件 config/elasticsearch.yml 简单版参考:

cluster.name: es-cluster
node.name: es-001

bootstrap.system_call_filter: false

network.host: 0.0.0.0
network.publish_host: 0.0.0.0

使用非root权限启动elasticsearch,在es目录下执行命令 bin/elasticsearch

9200、9300端口成功启动后,表示elasticsearch正常运行

后台运行es:

bin/elasticsearch -d

Mongo部署

根据对应系统版本下载mongo,mongo官网

创建db目录 /data/hids/db/ , 创建数据库日志文件 /data/hids/log/mongo.log

在mongo目录下,执行命令 bin/mongod --dbpath /data/hids/db/ --logpath /data/hids/log/mongo.log

27017端口成功启动后,表示mongodb正常运行

后台启动mongo:

bin/mongod --dbpath /data/hids/db/ --logpath /data/hids/log/mongo.log --fork

启动web

修改conf/APP.conf文件

快速修改密码配置,执行命令 md5 -s xxxxx

修改二次认证配置,执行命令

Python2 -c "import base64, random, string;print(base64.b32encode(''.join([random.choice(string.printable) for _ in range(35)]).encode()));"

注意:这里的二次认证需要配合Google Authenticator (一款APP)

修改数据库配置: mongodb、elasticsearch配置填内网ip(不能为127.0.0.1,localhost等)

注意 在启动web前,先确认elasticsearch是否能正常连通。

查看es状态:curl -XGET -s "http://localhost:9200/_cluster/health?pretty"

添加web执行权限,chmod +x web/web

执行命令 ./web 启动web界面。

后台运行:nohup ./web &

初始化规则

复制粘贴 rules.json 文件内容

启动server

添加server执行权限:chmod +x server

启动server: ./server -db mongodbIP:27017 -es elasticIP:9200

后台启动 nohup ./server -db mongodbIP:27017 -es elasticIP:9200 &

确认本地http、https端口正常启动,本地TCP端口33433正常启动。

部署agent

linux-64 agent部署安装

使用root权限执行

wget -O /tmp/daemon http://SERVER_IP:80/json/download?type=daemon\&system=linux\&platform=64\&action=download;chmod +x /tmp/daemon;/tmp/daemon -install -netloc SERVER_IP:443

如果更改了80和443端口,需要对应填写

windows-64 agent部署安装

使用管理员cmd执行命令

cd %SystemDrive% & certutil -urlcache -split -f http://SERVER_IP:80/json/download?type=daemon^&system=windows^&platform=64^&action=download daemon.exe & daemon.exe -netloc SERVER_IP:443 -install

使用ansible批量部署参考

playbook: deploy_yulong

---
- hosts: all
  remote_user: root
  tasks:
    - name: wget agent
      shell: wget -O /tmp/daemon http://SERVER_IP:80/json/download?type=daemon\&system=linux\&platform=64\&action=download;chmod +x /tmp/daemon;/tmp/daemon -install -netloc SERVER_IP:443
    - name: start agent
      service: name=yulong-hids state=started

hosts: yulong-hosts

根据业务编写响应的hosts即可

最后,执行命令

ansible-playbook deploy_yulong -i yulong-hosts

其他注意事项

  • 若规则不生效、网络连通问题,可使用agent debug模式查看信息,执行 /usr/yulong-hids/agent SERVER_IP debug

  • 使用kibana添加索引monitor,elastisearch的索引名称为 monitor*

  • server、agent服务器时间同步

  • 关闭观察模式后,才会出现相应的告警信息。

  • 部署上驭龙HIDS后,运行一周测试发现es的日志量不少(主要都是web业务机器产生的日志),在部署测试期间建议选取流量较小的服务器进行测试。

驭龙HIDS界面

简单规则

在生产业务中,应用配置是重要监控对象,可编写规则监控应用配置变化。

如监控nginx、tomcat配置变化

{
  "and": true,
  "enabled": true,
  "meta": {
    "author": "Superhua",
    "description": "生产配置是否被修改",
    "level": 0,
    "name": "应用配置异常修改"
  },
  "rules": {
    "action": {
      "data": "WRITE",
      "type": "string"
    },
    "path": {
      "data": "\\/ops\\/conf\\/|\\/ops\\/conf\\/.*?nginx.*?\\/|\\/ops\\/conf\\/.*?tomcat.*?\\/",
      "type": "regex"
    }
  },
  "source": "file",
  "system": "all"
}

同时需要在 设置 -> CLIENT 中添加监控路径

/ops/conf/*

规则生效后,配置文件被修改可在告警界面查看相应告警。

如生产系统使用ssh公钥登录,那么可以编写规则监测公钥目录是否被修改。

总结

从部署到简单测试,给驭龙提出不少建议(大佬wolf修改非常迅猛,赞)。个人认为,简单的部署方式及规则配置、告警展示更适合国人的使用习惯。

安全防护建议:

  • 使用iptables限制mongo的访问,拒绝一切mongo访问。

  • 使用安全插件防护elasticsearch。

作者:SuperFace

链接:https://www.jianshu.com/p/6f1e49d80beb

來源:简书

著作权归作者所有。商业转载请联系作者获得授权,非商业转载请注明出处。

相关阅读

分享到:

栏目导航

推荐阅读

热门阅读