前言
上一篇介绍了两款开源的NIDS,这篇就介绍两款开源的HIDS
Elkeid
Elkeid 是一款可以满足 主机,容器与容器集群,Serverless 等多种工作负载安全需求的开源解决方案,源于字节跳动内部最佳实践。
服务器配置:4C8G
环境部署
Elkeid 完整部署[1]
GitHub - bytedance/Elkeid: Elkeid is an open source solution that can meet the security requirements of various workloads such as hosts, containers and K8s, and serverless. It is derived from ByteDance’s internal best practices.[2]
# 从release下载的是分卷的镜像,需要先合并镜像
wget https://github.com/bytedance/Elkeid/releases/download/v1.9.1.4/elkeidup_image_v1.9.1.tar.gz.00
wget https://github.com/bytedance/Elkeid/releases/download/v1.9.1.4/elkeidup_image_v1.9.1.tar.gz.01
wget https://github.com/bytedance/Elkeid/releases/download/v1.9.1.4/elkeidup_image_v1.9.1.tar.gz.02
wget https://github.com/bytedance/Elkeid/releases/download/v1.9.1.4/elkeidup_image_v1.9.1.tar.gz.03
cat elkeidup_image_v1.9.1.tar.gz.* > elkeidup_image_v1.9.1.tar.gz
#导入镜像
docker load -i elkeidup_image_v1.9.1.tar.gz
docker run -d --name elkeid_community
--restart=unless-stopped
-v /sys/fs/cgroup:/sys/fs/cgroup:ro
-p 8071:8071 -p 8072:8072 -p 8080:8080
-p 8081:8081 -p 8082:8082 -p 8089:8080 -p 8090:8090
--privileged
elkeid/all-in-one:v1.9.1
仅可以使用局域网IP,不要使用 127.0.0.1 或者 hostname 或者公网IP
docker exec -it elkeid_community bash
cd /root/.elkeidup/
# 命令为交互式
./elkeidup public {ip}#172.25.23.117
./elkeidup agent init
./elkeidup agent build
./elkeidup agent policy create
# 查看登录密码
cat ~/.elkeidup/elkeid_passwd
主要功能
资产探针
目前好像只支持内网下载客户端去连接
稍微等待一会就会出现客户端主机成功连接上来了
基线检测
病毒扫描
入侵检测
Wazuh
Wazuh 是一个免费、开源和企业级的安全监控解决方案,用于威胁检测、完整性监控、事件响应和合规性。
Wazuh由部署到受监视系统的端点安全代理和管理服务器组成,管理服务器收集和分析代理收集的数据。此外,Wazuh已与Elastic Stack完全集成,提供了搜索引擎和数据可视化工具,使用户可以浏览其安全警报。
Wazuh提供的功能包括日志数据分析,入侵和恶意软件检测,文件完整性监视,配置评估,漏洞检测以及对法规遵从性的支持。
https://github.com/wazuh
环境部署-虚拟机直接部署
Virtual Machine (OVA) - Installation alternatives[3]
user: root
password: wazuh
timedatectl set-timezone Asia/Shanghai
参考使用
引用链接
[1]
Elkeid 完整部署: http://elkeid.bytedance.com/docs/elkeidup/deploy-zh_CN.html[2]
GitHub - bytedance/Elkeid: Elkeid is an open source solution that can meet the security requirements of various workloads such as hosts, containers and K8s, and serverless. It is derived from ByteDance’s internal best practices.: https://github.com/bytedance/Elkeid[3]
Virtual Machine (OVA) - Installation alternatives: https://documentation.wazuh.com/current/deployment-options/virtual-machine/virtual-machine.html
原文始发于微信公众号(ElmWhite安全小记):HIDS入侵检测系统-Elkeid与Wazuh
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论