设备部署-HIDS入侵检测系统-Elkeid&Wazuh 前言上一篇介绍了两款开源的NIDS，这篇就介绍两款开源的HIDSElkeidElkeid 是一款可以满足 主机，容器与容器集群，Serverless 等多种工作负载安全需求的开源解决方案，源于字节跳动内部最佳实践。服务器配置：4C8G环境部署Elkeid 完整部署GitHub - bytedance/Elkeid: Elkeid is an open source solution that can meet the security requirements of various workloads such as hosts, containers and K8s, and serverless. It is derived from ByteDance’s internal best practices.# 从release下载的是分卷的镜像，需要先合并镜像 wget https://github.com/bytedance/Elkeid/releases/download/v1.9.1.4/elkeidup_image_v1.9.1.tar.gz.00 wget https://github.com/bytedance/Elkeid/releases/download/v1.9.1.4/elkeidup_image_v1.9.1.tar.gz.01 wget https://github.com/bytedance/Elkeid/releases/download/v1.9.1.4/elkeidup_image_v1.9.1.tar.gz.02 wget https://github.com/bytedance/Elkeid/releases/download/v1.9.1.4/elkeidup_image_v1.9.1.tar.gz.03 cat elkeidup_image_v1.9.1.tar.gz.* > elkeidup_image_v1.9.1.tar.gz #导入镜像 docker load -i elkeidup_image_v1.9.1.tar.gz docker run -d --name elkeid_community \ --restart=unless-stopped \ -v /sys/fs/cgroup:/sys/fs/cgroup:ro \ -p 8071:8071 -p 8072:8072 -p 8080:8080 \ -p 8081:8081 -p 8082:8082 -p 8089:8080 -p 8090:8090\ --privileged \ elkeid/all-in-one:v1.9.1仅可以使用局域网IP，不要使用 127.0.0.1 或者 hostname 或者公网IPdocker exec -it elkeid_community bash cd /root/.elkeidup/ # 命令为交互式 ./elkeidup public {ip}#172.25.23.117 ./elkeidup agent init ./elkeidup agent build ./elkeidup agent policy create # 查看登录密码 cat ~/.elkeidup/elkeid_passwd主要功能资产探针目前好像只支持内网下载客户端去连接稍微等待一会就会出现客户端主机成功连接上来了基线检测病毒扫描入侵检测WazuhWazuh 是一个免费、开源和企业级的安全监控解决方案，用于威胁检测、完整性监控、事件响应和合规性。Wazuh由部署到受监视系统的端点安全代理和管理服务器组成，管理服务器收集和分析代理收集的数据。此外，Wazuh已与Elastic Stack完全集成，提供了搜索引擎和数据可视化工具，使用户可以浏览其安全警报。Wazuh提供的功能包括日志数据分析，入侵和恶意软件检测，文件完整性监视，配置评估，漏洞检测以及对法规遵从性的支持。https://github.com/wazuh环境部署-虚拟机直接部署Virtual Machine (OVA) - Installation alternativesuser: root password: wazuhtimedatectl set-timezone Asia/Shanghai参考使用【干货】开源安全平台Wazuh的部署与体验