主机安全---开源wazuh使用

安装文档这里:主机安全---开源wazuh安装-CSDN博客

1、接入主机----根据要求一步步填写

复制这条命令,在客户机上执行安装

systemctl daemon-reload

systemctl enable wazuh-agent

systemctl start wazuh-agent

2、测试防御--ssh

查看SSH登录告警规则【服务端】

进入规则目录并查看SSH相关规则文件:

bash 复制代码
cd /var/ossec/ruleset/rules
cat 0095-sshd_rules.xml

文件中的5710规则示例:

XML 复制代码
#####尝试用一个不存在的用户登录

 <rule id="5710" level="5">
    <if_sid>5700</if_sid>
    <match>illegal user|invalid user</match>
    <description>sshd: Attempt to login using a non-existent user</description>
    <mitre>
      <id>T1110.001</id>
      <id>T1021.004</id>
    </mitre>
    <group>authentication_failed,gdpr_IV_35.7.d,gdpr_IV_32.2,gpg13_7.1,hipaa_164.312.b,invalid_login,nist_800_53_AU.14,nist_800_53_AC.7,nist_800_53_AU.6,pci_dss_10.2.4,pci_dss_10.2.5,pci_dss_10.6.1,tsc_CC6.1,tsc_CC6.8,tsc_CC7.2,tsc_CC7.3,</group>
  </rule>

触发规则测试方法

使用远程终端工具(Xshell/MobaXterm)或本地登录界面,输入不存在的用户名和任意密码进行登录尝试。触发后可在Wazuh管理界面查看安全事件消息。

配置主动防御响应

编辑主配置文件添加防火墙拦截规则:

bash 复制代码
vi /var/ossec/etc/ossec.conf

<active-response>区块添加以下内容(注意修正原文本中的标签拼写错误):

XML 复制代码
<active-response>
  <command>firewall-drop</command>
  <location>local</location>
  <rules_id>5710</rules_id>
  <timeout>100</timeout>
</active-response>

关键参数说明:

  • firewall-drop:触发防火墙拦截动作
  • rules_id=5710:绑定到SSH无效用户登录规则
  • timeout=100:拦截持续时间(秒)

效果验证

  1. 触发规则后,攻击源IP将被防火墙阻断100秒
  2. 在此期间访问Web界面会出现连接超时
  3. 可通过调整timeout值延长/缩短阻断时长

注意:配置变更后需重启Wazuh服务生效:

bash 复制代码
systemctl restart wazuh-manager

在开一台web执行爆破客户机,5次过后,流量被丢弃

客户机产生防火墙规则阻止

相关推荐
newxtc6 小时前
【浙江政务服务网-注册_登录安全分析报告】
运维·selenium·安全·政务
alex1009 小时前
API安全漏洞详解:Broken Function Level Authorization (BFLA) 的威胁与防御
网络·安全
leagsoft_100312 小时前
上新!联软科技发布新一代LeagView平台,用微服务重塑终端安全
科技·安全·微服务
用户479492835691513 小时前
什么是XSS攻击,怎么预防,一篇文章带你搞清楚
前端·javascript·安全
白帽子黑客罗哥14 小时前
云原生安全深度实战:从容器安全到零信任架构
安全·云原生·架构·零信任·容器安全·kubernetes安全·服务网络
TG_yunshuguoji14 小时前
亚马逊云代理商:怎么快速构建高安全区块链应用?
网络·安全·云计算·区块链·aws
喜欢你,还有大家14 小时前
企业安全防护之——防火墙
服务器·网络·安全
滑水滑成滑头14 小时前
**发散创新:探索零信任网络下的安全编程实践**随着信息技术的飞速发展,网络安全问题日益凸显。传统的网络安全防护方式已难以
java·网络·python·安全·web安全
光影少年16 小时前
网络安全生态及学习路线
学习·安全·web安全
是Yu欸16 小时前
【仓颉语言】原生智能、全场景与强安全的设计哲学
开发语言·安全·鸿蒙·鸿蒙系统·仓颉语言