HIDS-wazuh 的配置和防御

目录

安装wazuh

常用内容

检测sql注入

主动响应

安装wazuh

本地测试的话建议用ova文件，直接导入虚拟机就能用了

官网：Virtual Machine (OVA) – Installation alternatives

常用内容

目录位置：/etc/ossec

配置文件：/var/ossec/etc/ossec.conf

告警信息：/var/ossec/logs/alerts/alerts.log，有两个格式，json格式是给计算机看的

规则：/var/ossec/ruleset/rules，不建议修改

快速查找一条规则：

[root@wazuh-server rules]# find . -type f -name “*.xml” -print0 | xargs -0 grep -r -i “5557”
./0085-pam_rules.xml:

添加代理

直接按照wazuh的选项来就可以：

查找代理：

路径：/var/ossec/bin

这个工具可以找到我们的代理，如下：

检测sql注入

先在客户端配置文件中/var/ossec/etc/ossec.conf添加要监控的日志

apache
/var/log/httpd/access.log

在服务端不用操作，因为相关规则都写好了的

然后在客户端模拟下攻击：

日志明显已经记录下来了：

看wazuh的监控：

发现提示

主动响应

要在服务端的配置文件上配置：

这是主动响应的位置，这些命令就是要执行的内容，不调用是无法使用的，所以我们自己写的主动响应规则需要按需求来调用这些命令

模板：

no
host-deny
defined-agent
001
10
180

这里使用的是level触发，能管到所有达到这个等级的代理客户端

如果用来触发的话可以更精确

这里用rules_id写然后添加进去

这个31103和31171是在提示告警的时候触发的，这样就能精确匹配上了

重启服务然后再测试改成的sql注入，发现无法访问了

再去看iptables就能发现IP已经被加进去了（后面会根据timeout把ip放出来）

如果手动操作的话，就得看日志，再手动添加进防火墙，效率低下、繁琐

注：
原文链接：https://blog.csdn.net/vt_yjx/article/details/132416509