主机安全---开源wazuh使用

安装文档这里:主机安全---开源wazuh安装-CSDN博客

1、接入主机----根据要求一步步填写

复制这条命令,在客户机上执行安装

systemctl daemon-reload

systemctl enable wazuh-agent

systemctl start wazuh-agent

2、测试防御--ssh

查看SSH登录告警规则【服务端】

进入规则目录并查看SSH相关规则文件:

bash 复制代码
cd /var/ossec/ruleset/rules
cat 0095-sshd_rules.xml

文件中的5710规则示例:

XML 复制代码
#####尝试用一个不存在的用户登录

 <rule id="5710" level="5">
    <if_sid>5700</if_sid>
    <match>illegal user|invalid user</match>
    <description>sshd: Attempt to login using a non-existent user</description>
    <mitre>
      <id>T1110.001</id>
      <id>T1021.004</id>
    </mitre>
    <group>authentication_failed,gdpr_IV_35.7.d,gdpr_IV_32.2,gpg13_7.1,hipaa_164.312.b,invalid_login,nist_800_53_AU.14,nist_800_53_AC.7,nist_800_53_AU.6,pci_dss_10.2.4,pci_dss_10.2.5,pci_dss_10.6.1,tsc_CC6.1,tsc_CC6.8,tsc_CC7.2,tsc_CC7.3,</group>
  </rule>

触发规则测试方法

使用远程终端工具(Xshell/MobaXterm)或本地登录界面,输入不存在的用户名和任意密码进行登录尝试。触发后可在Wazuh管理界面查看安全事件消息。

配置主动防御响应

编辑主配置文件添加防火墙拦截规则:

bash 复制代码
vi /var/ossec/etc/ossec.conf

<active-response>区块添加以下内容(注意修正原文本中的标签拼写错误):

XML 复制代码
<active-response>
  <command>firewall-drop</command>
  <location>local</location>
  <rules_id>5710</rules_id>
  <timeout>100</timeout>
</active-response>

关键参数说明:

  • firewall-drop:触发防火墙拦截动作
  • rules_id=5710:绑定到SSH无效用户登录规则
  • timeout=100:拦截持续时间(秒)

效果验证

  1. 触发规则后,攻击源IP将被防火墙阻断100秒
  2. 在此期间访问Web界面会出现连接超时
  3. 可通过调整timeout值延长/缩短阻断时长

注意:配置变更后需重启Wazuh服务生效:

bash 复制代码
systemctl restart wazuh-manager

在开一台web执行爆破客户机,5次过后,流量被丢弃

客户机产生防火墙规则阻止

相关推荐
盟接之桥11 小时前
盟接之桥说制造:源头制胜,降本增效:从“盟接之桥”看供应链成本控制的底层逻辑
大数据·网络·人工智能·安全·制造
RFID舜识物联网11 小时前
NFC技术如何破解电子制造领域的效率瓶颈与追溯难题
大数据·人工智能·嵌入式硬件·物联网·安全·制造
小苑同学19 小时前
安全对齐到底是什么
人工智能·安全
CC-NX19 小时前
移动终端安全:实验2-创建自签名证书对APP签名
安全·安卓逆向·签名校验
深盾科技1 天前
如何读懂Mach-O:构建macOS和iOS应用安全的第一道认知防线
安全·macos·ios
wanhengidc1 天前
云手机ARM架构都具有哪些挑战
运维·服务器·安全·游戏·智能手机
KKKlucifer1 天前
Gartner 2025 中国网络安全成熟度曲线深度解读:AI 安全如何重构防御逻辑
人工智能·安全·web安全
FreeBuf_1 天前
微软警示AI驱动的钓鱼攻击:LLM生成的SVG文件绕过邮件安全检测
人工智能·安全·microsoft
灵雀云1 天前
灵雀云六度入选 Gartner 中国 ICT 技术成熟度曲线报告,ACP以安全、稳定、智能三大核心能力定义企业级云原生数字底座
安全·云原生
Bruce_Liuxiaowei1 天前
Kerberos协议深度解析:工作原理与安全实践
运维·windows·安全·网络安全