前言
上一篇介绍了两款开源的NIDS,这篇就介绍两款开源的HIDS
Elkeid
Elkeid 是一款可以满足 主机,容器与容器集群,Serverless 等多种工作负载安全需求的开源解决方案,源于字节跳动内部最佳实践。
服务器配置:4C8G
环境部署
# 从release下载的是分卷的镜像,需要先合并镜像
wget https://github.com/bytedance/Elkeid/releases/download/v1.9.1.4/elkeidup_image_v1.9.1.tar.gz.00
wget https://github.com/bytedance/Elkeid/releases/download/v1.9.1.4/elkeidup_image_v1.9.1.tar.gz.01
wget https://github.com/bytedance/Elkeid/releases/download/v1.9.1.4/elkeidup_image_v1.9.1.tar.gz.02
wget https://github.com/bytedance/Elkeid/releases/download/v1.9.1.4/elkeidup_image_v1.9.1.tar.gz.03
cat elkeidup_image_v1.9.1.tar.gz.* > elkeidup_image_v1.9.1.tar.gz
#导入镜像
docker load -i elkeidup_image_v1.9.1.tar.gz
docker run -d --name elkeid_community \
--restart=unless-stopped \
-v /sys/fs/cgroup:/sys/fs/cgroup:ro \
-p 8071:8071 -p 8072:8072 -p 8080:8080 \
-p 8081:8081 -p 8082:8082 -p 8089:8080 -p 8090:8090\
--privileged \
elkeid/all-in-one:v1.9.1仅可以使用局域网IP,不要使用 127.0.0.1 或者 hostname 或者公网IP
docker exec -it elkeid_community bash
cd /root/.elkeidup/
# 命令为交互式
./elkeidup public {ip}#172.25.23.117
./elkeidup agent init
./elkeidup agent build
./elkeidup agent policy create
# 查看登录密码
cat ~/.elkeidup/elkeid_passwd
主要功能
资产探针
目前好像只支持内网下载客户端去连接
稍微等待一会就会出现客户端主机成功连接上来了
基线检测
病毒扫描
入侵检测
Wazuh
Wazuh 是一个免费、开源和企业级的安全监控解决方案,用于威胁检测、完整性监控、事件响应和合规性。
Wazuh由部署到受监视系统的端点安全代理和管理服务器组成,管理服务器收集和分析代理收集的数据。此外,Wazuh已与Elastic Stack完全集成,提供了搜索引擎和数据可视化工具,使用户可以浏览其安全警报。
Wazuh提供的功能包括日志数据分析,入侵和恶意软件检测,文件完整性监视,配置评估,漏洞检测以及对法规遵从性的支持。
环境部署-虚拟机直接部署
Virtual Machine (OVA) - Installation alternatives
user: root
password: wazuh
timedatectl set-timezone Asia/Shanghai
评论 (0)