驭龙HIDS从入门到深爱

前言

HIDS全称是Host-based Intrusion Detection System,即基于主机型入侵检测系统。作为一款HIDS,应当包括了主机重要日志分析,重要系统文件完整性检查,root-kit检测等功能。

国外开源HIDS产品

Ossec是著名的开源的多平台入侵检测系统。而在生产环境中,很多同学会使用基于ossec的扩展wazuh建立主机入侵检测体系。其功能强大,但是对技术栈要求较高,然而wazuh并非文章主角。

国内开源HIDS产品

国内HIDS终于有牛逼的开源产品了!

驭龙HIDS是一款免费开源的入侵检测系统,由AgentDaemonServer组成,集异常检测、监控管理为一体,拥有异常行为发现、快速阻断、高级分析等功能,可从多个维度行为信息中发现入侵行为。

YuLong部署流程

部署流程必须按照顺序执行:

  1. Linux安装libpcap,windows安装winpcap
  2. 部署数据库Mongodb(3.x)、Elasticsearch(5.x)
  3. 启动mongo、elasticsearch
  4. 修改web的配置,启动web,根据提示初始化数据库、规则等(web界面)
  5. 启动server(Hids的服务端)
  6. 部署agent,启动agent(Hids的客户端)

启动数据库

Elasticsearch部署

部署elasticsearch、kibana,不熟悉ELK的同学可参考 ELK部署

配置文件 config/elasticsearch.yml 简单版参考:

cluster.name: es-cluster
node.name: es-001

bootstrap.system_call_filter: false

network.host: 0.0.0.0
network.publish_host: 0.0.0.0

使用非root权限启动elasticsearch,在es目录下执行命令 bin/elasticsearch

9200、9300端口成功启动后,表示elasticsearch正常运行

后台运行es:

bin/elasticsearch -d

Mongo部署

根据对应系统版本下载mongo,mongo官网

创建db目录 /data/hids/db/ , 创建数据库日志文件 /data/hids/log/mongo.log

在mongo目录下,执行命令 bin/mongod --dbpath /data/hids/db/ --logpath /data/hids/log/mongo.log

27017端口成功启动后,表示mongodb正常运行

后台启动mongo:

bin/mongod --dbpath /data/hids/db/ --logpath /data/hids/log/mongo.log --fork

启动web

修改conf/app.conf文件

快速修改密码配置,执行命令 md5 -s xxxxx

修改二次认证配置,执行命令

python2 -c "import base64, random, string;print(base64.b32encode(''.join([random.choice(string.printable) for _ in range(35)]).encode()));"

注意:这里的二次认证需要配合Google Authenticator (一款APP)

修改数据库配置: mongodb、elasticsearch配置填内网IP(不能为127.0.0.1,localhost等)

注意 在启动web前,先确认elasticsearch是否能正常连通。
查看es状态:curl -XGET -s "http://localhost:9200/_cluster/health?pretty"

添加web执行权限,chmod +x web/web

执行命令 ./web 启动web界面。

后台运行:nohup ./web &

初始化规则

复制粘贴 rules.json 文件内容

启动server

添加server执行权限:chmod +x server

启动server: ./server -db mongodbIP:27017 -es elasticIP:9200

后台启动 nohup ./server -db mongodbIP:27017 -es elasticIP:9200 &

确认本地http、https端口正常启动,本地TCP端口33433正常启动。

部署agent

linux-64 agent部署安装

使用root权限执行

wget -O /tmp/daemon http://SERVER_IP:80/json/download?type=daemon\&system=linux\&platform=64\&action=download;chmod +x /tmp/daemon;/tmp/daemon -install -netloc SERVER_IP:443

如果更改了80和443端口,需要对应填写

windows-64 agent部署安装

使用管理员cmd执行命令

cd %SystemDrive% & certutil -urlcache -split -f http://SERVER_IP:80/json/download?type=daemon^&system=windows^&platform=64^&action=download daemon.exe & daemon.exe -netloc SERVER_IP:443 -install

使用ansible批量部署参考

playbook: deploy_yulong

---
- hosts: all
  remote_user: root
  tasks:
    - name: wget agent
      shell: wget -O /tmp/daemon http://SERVER_IP:80/json/download?type=daemon\&system=linux\&platform=64\&action=download;chmod +x /tmp/daemon;/tmp/daemon -install -netloc SERVER_IP:443
    - name: start agent
      service: name=yulong-hids state=started

hosts: yulong-hosts

根据业务编写响应的hosts即可

最后,执行命令

ansible-playbook deploy_yulong -i yulong-hosts

其他注意事项

  • 若规则不生效、网络连通问题,可使用agent debug模式查看信息,执行 /usr/yulong-hids/agent SERVER_IP debug

  • 使用kibana添加索引monitor,elastisearch的索引名称为 monitor*

  • server、agent服务器时间同步。

  • 关闭观察模式后,才会出现相应的告警信息。

  • 部署上驭龙HIDS后,运行一周测试发现es的日志量不少(主要都是web业务机器产生的日志),在部署测试期间建议选取流量较小的服务器进行测试。

驭龙HIDS界面

简单规则

在生产业务中,应用配置是重要监控对象,可编写规则监控应用配置变化。

如监控nginx、tomcat配置变化

{
  "and": true,
  "enabled": true,
  "meta": {
    "author": "Superhua",
    "description": "生产配置是否被修改",
    "level": 0,
    "name": "应用配置异常修改"
  },
  "rules": {
    "action": {
      "data": "WRITE",
      "type": "string"
    },
    "path": {
      "data": "\\/ops\\/conf\\/|\\/ops\\/conf\\/.*?nginx.*?\\/|\\/ops\\/conf\\/.*?tomcat.*?\\/",
      "type": "regex"
    }
  },
  "source": "file",
  "system": "all"
}

同时需要在 设置 -> CLIENT 中添加监控路径

/ops/conf/*

规则生效后,配置文件被修改可在告警界面查看相应告警。

如生产系统使用ssh公钥登录,那么可以编写规则监测公钥目录是否被修改。

总结

从部署到简单测试,给驭龙提出不少建议(大佬wolf修改非常迅猛,赞)。个人认为,简单的部署方式及规则配置、告警展示更适合国人的使用习惯。

安全防护建议:

  • 使用iptables限制mongo的访问,拒绝一切mongo访问。

  • 使用安全插件防护elasticsearch。

最后编辑于
©著作权归作者所有,转载或内容合作请联系作者
  • 序言:七十年代末,一起剥皮案震惊了整个滨河市,随后出现的几起案子,更是在滨河造成了极大的恐慌,老刑警刘岩,带你破解...
    沈念sama阅读 203,547评论 6 477
  • 序言:滨河连续发生了三起死亡事件,死亡现场离奇诡异,居然都是意外死亡,警方通过查阅死者的电脑和手机,发现死者居然都...
    沈念sama阅读 85,399评论 2 381
  • 文/潘晓璐 我一进店门,熙熙楼的掌柜王于贵愁眉苦脸地迎上来,“玉大人,你说我怎么就摊上这事。” “怎么了?”我有些...
    开封第一讲书人阅读 150,428评论 0 337
  • 文/不坏的土叔 我叫张陵,是天一观的道长。 经常有香客问我,道长,这世上最难降的妖魔是什么? 我笑而不...
    开封第一讲书人阅读 54,599评论 1 274
  • 正文 为了忘掉前任,我火速办了婚礼,结果婚礼上,老公的妹妹穿的比我还像新娘。我一直安慰自己,他们只是感情好,可当我...
    茶点故事阅读 63,612评论 5 365
  • 文/花漫 我一把揭开白布。 她就那样静静地躺着,像睡着了一般。 火红的嫁衣衬着肌肤如雪。 梳的纹丝不乱的头发上,一...
    开封第一讲书人阅读 48,577评论 1 281
  • 那天,我揣着相机与录音,去河边找鬼。 笑死,一个胖子当着我的面吹牛,可吹牛的内容都是我干的。 我是一名探鬼主播,决...
    沈念sama阅读 37,941评论 3 395
  • 文/苍兰香墨 我猛地睁开眼,长吁一口气:“原来是场噩梦啊……” “哼!你这毒妇竟也来了?” 一声冷哼从身侧响起,我...
    开封第一讲书人阅读 36,603评论 0 258
  • 序言:老挝万荣一对情侣失踪,失踪者是张志新(化名)和其女友刘颖,没想到半个月后,有当地人在树林里发现了一具尸体,经...
    沈念sama阅读 40,852评论 1 297
  • 正文 独居荒郊野岭守林人离奇死亡,尸身上长有42处带血的脓包…… 初始之章·张勋 以下内容为张勋视角 年9月15日...
    茶点故事阅读 35,605评论 2 321
  • 正文 我和宋清朗相恋三年,在试婚纱的时候发现自己被绿了。 大学时的朋友给我发了我未婚夫和他白月光在一起吃饭的照片。...
    茶点故事阅读 37,693评论 1 329
  • 序言:一个原本活蹦乱跳的男人离奇死亡,死状恐怖,灵堂内的尸体忽然破棺而出,到底是诈尸还是另有隐情,我是刑警宁泽,带...
    沈念sama阅读 33,375评论 4 318
  • 正文 年R本政府宣布,位于F岛的核电站,受9级特大地震影响,放射性物质发生泄漏。R本人自食恶果不足惜,却给世界环境...
    茶点故事阅读 38,955评论 3 307
  • 文/蒙蒙 一、第九天 我趴在偏房一处隐蔽的房顶上张望。 院中可真热闹,春花似锦、人声如沸。这庄子的主人今日做“春日...
    开封第一讲书人阅读 29,936评论 0 19
  • 文/苍兰香墨 我抬头看了看天上的太阳。三九已至,却和暖如春,着一层夹袄步出监牢的瞬间,已是汗流浃背。 一阵脚步声响...
    开封第一讲书人阅读 31,172评论 1 259
  • 我被黑心中介骗来泰国打工, 没想到刚下飞机就差点儿被人妖公主榨干…… 1. 我叫王不留,地道东北人。 一个月前我还...
    沈念sama阅读 43,970评论 2 349
  • 正文 我出身青楼,却偏偏与公主长得像,于是被迫代替她去往敌国和亲。 传闻我的和亲对象是个残疾皇子,可洞房花烛夜当晚...
    茶点故事阅读 42,414评论 2 342