主机安全---开源wazuh使用

安装文档这里:主机安全---开源wazuh安装-CSDN博客

1、接入主机----根据要求一步步填写

复制这条命令,在客户机上执行安装

systemctl daemon-reload

systemctl enable wazuh-agent

systemctl start wazuh-agent

2、测试防御--ssh

查看SSH登录告警规则【服务端】

进入规则目录并查看SSH相关规则文件:

bash 复制代码
cd /var/ossec/ruleset/rules
cat 0095-sshd_rules.xml

文件中的5710规则示例:

XML 复制代码
#####尝试用一个不存在的用户登录

 <rule id="5710" level="5">
    <if_sid>5700</if_sid>
    <match>illegal user|invalid user</match>
    <description>sshd: Attempt to login using a non-existent user</description>
    <mitre>
      <id>T1110.001</id>
      <id>T1021.004</id>
    </mitre>
    <group>authentication_failed,gdpr_IV_35.7.d,gdpr_IV_32.2,gpg13_7.1,hipaa_164.312.b,invalid_login,nist_800_53_AU.14,nist_800_53_AC.7,nist_800_53_AU.6,pci_dss_10.2.4,pci_dss_10.2.5,pci_dss_10.6.1,tsc_CC6.1,tsc_CC6.8,tsc_CC7.2,tsc_CC7.3,</group>
  </rule>

触发规则测试方法

使用远程终端工具(Xshell/MobaXterm)或本地登录界面,输入不存在的用户名和任意密码进行登录尝试。触发后可在Wazuh管理界面查看安全事件消息。

配置主动防御响应

编辑主配置文件添加防火墙拦截规则:

bash 复制代码
vi /var/ossec/etc/ossec.conf

<active-response>区块添加以下内容(注意修正原文本中的标签拼写错误):

XML 复制代码
<active-response>
  <command>firewall-drop</command>
  <location>local</location>
  <rules_id>5710</rules_id>
  <timeout>100</timeout>
</active-response>

关键参数说明:

  • firewall-drop:触发防火墙拦截动作
  • rules_id=5710:绑定到SSH无效用户登录规则
  • timeout=100:拦截持续时间(秒)

效果验证

  1. 触发规则后,攻击源IP将被防火墙阻断100秒
  2. 在此期间访问Web界面会出现连接超时
  3. 可通过调整timeout值延长/缩短阻断时长

注意:配置变更后需重启Wazuh服务生效:

bash 复制代码
systemctl restart wazuh-manager

在开一台web执行爆破客户机,5次过后,流量被丢弃

客户机产生防火墙规则阻止

相关推荐
2601_9623649716 小时前
Windows Hello VS 传统密码:身份认证安全层级全面对比分析
windows·安全·电脑
2601_9571746521 小时前
零基础学网络安全能学好吗
安全·web安全
aaPIXa62221 小时前
C++ 用 13 条规则让模型写出安全现代 C++
java·c++·安全
m0_738120721 天前
PHP代码审计基础——超全局变量(三)
开发语言·安全·网络安全·php
m0_738120721 天前
PHP代码审计基础——面向对象(四)
android·开发语言·网络·安全·github·php
带娃的IT创业者1 天前
监控并非安全:当隐私成为技术的祭品
java·开发语言·安全·数据安全·监控·隐私保护·加密技术
MartinYeung51 天前
[论文学习]LLM-based AI Agent 安全威胁与防御系统性综述
人工智能·学习·安全
不会C语言的男孩1 天前
TCP通信可视化工具,含下载地址
服务器·网络·安全
智脑API平台1 天前
Codex Sandbox 和 Approval 怎么设置?文件权限、网络访问和安全边界说明
安全·sandbox·approval
遇码1 天前
开源 Data Agent 实战:用 Lakemind + DuckDB 让 LLM 安全分析本地数据
安全·开源