OSSEC (Open Source Security Event Correlator) - это HIDS система
(Host-based Intrusion Detection System).
Она умеет:
- анализ логов
- обнаружение вторжений
- контроль целостности файлов
- rootkit detection
- мониторинг системных событий
- активный ответ на атаки
OSSEC работает по архитектуре:
- OSSEC Manager - центральный сервер
- OSSEC Agent - агент на хостах
- OSSEC Local - standalone режим
Установка в Arch Linux
OSSEC доступен в AUR.
Установка через yay:
yay -S ossec-hids
или ручная сборка:
git clone https://aur.archlinux.org/ossec-hids.git
cd ossec-hids
makepkg -si
Структура каталогов
После установки создаётся директория:
/var/ossec/
Основные каталоги:
/var/ossec/etc
/var/ossec/logs
/var/ossec/queue
/var/ossec/rules
/var/ossec/active-response
Главный конфигурационный файл:
/var/ossec/etc/ossec.conf
Основной конфиг
Редактируем конфиг:
sudo nano /var/ossec/etc/ossec.conf
Пример минимальной конфигурации:
<ossec_config>
<global>
<email_notification>no</email_notification>
<logall>yes</logall>
</global>
</ossec_config>
Мониторинг логов
OSSEC умеет анализировать системные логи.
Пример:
<localfile>
<log_format>syslog</log_format>
<location>/var/log/auth.log</location>
</localfile>
Можно добавить:
<location>/var/log/pacman.log</location>
Это позволяет обнаруживать:
- brute force SSH
- sudo попытки
- подозрительные действия.
File Integrity Monitoring
OSSEC отслеживает изменения файлов.
Настройка:
<syscheck>
<directories check_all="yes">/etc</directories>
<directories check_all="yes">/usr/bin</directories>
<directories check_all="yes">/usr/sbin</directories>
</syscheck>
Отслеживаются:
- изменение
- удаление
- создание файлов.
Rootkit detection
В OSSEC встроен модуль rootkit detection.
Включается так:
<rootcheck>
<disabled>no</disabled>
</rootcheck>
Проверяются:
- скрытые процессы
- подозрительные файлы
- известные сигнатуры rootkit.
Active Response
OSSEC может автоматически реагировать на атаки.
Например - блокировать IP.
<active-response>
<command>firewall-drop</command>
<location>local</location>
<level>10</level>
</active-response>
Это позволяет:
- блокировать brute force
- блокировать атакующие IP.
Запуск OSSEC
Arch использует systemd.
Запуск сервиса:
sudo systemctl enable ossec
sudo systemctl start ossec
Проверка:
systemctl status ossec
Просмотр логов
Основные логи:
tail -f /var/ossec/logs/ossec.log
События безопасности:
tail -f /var/ossec/logs/alerts/alerts.log
Проверка работы
Можно посмотреть статус OSSEC:
/var/ossec/bin/ossec-control status
Запуск вручную:
/var/ossec/bin/ossec-control start
Перезапуск:
/var/ossec/bin/ossec-control restart
Минимальный workflow
yay -S ossec-hids
sudo nano /var/ossec/etc/ossec.conf
sudo systemctl enable ossec
sudo systemctl start ossec
Когда использовать
OSSEC полезен для:
- серверов
- IDS систем
- мониторинга логов
- обнаружения вторжений
- security auditing
Отличие от Wazuh
|Функция|OSSEC|Wazuh| |---|---|---| |IDS|✓|✓| |log analysis|✓|✓| |file integrity|✓|✓| |rootkit detection|✓|✓| |vulnerability scan|✗|✓| |SIEM|ограничено|полноценный|
#Wazuh - это форк OSSEC с расширенными возможностями.
Итог
OSSEC - классическая HIDS система.
Она:
- анализирует логи
- обнаруживает атаки
- контролирует изменения файлов
- выполняет автоматические реакции
Используется как основа для многих IDS решений.