OSSEC (Open Source Security) — это хостовая система обнаружения вторжений, HIDS. Если коротко: она живёт прямо на сервере и следит за всем, что там происходит — анализирует логи, контролирует целостность файлов (FIM), ищет rootkit'ы, проверяет соответствие политикам безопасности и умеет сама блокировать угрозы. Сетевые IDS вроде Snort или Suricata смотрят на трафик снаружи — OSSEC смотрит изнутри, и именно поэтому видит то, что снаружи просто не заметно.
Архитектура у OSSEC клиент-серверная, ничего экзотического:
- OSSEC Server (Manager) — мозг всей системы: принимает данные от агентов, прогоняет их через правила и складывает алерты
- OSSEC Agent — ставится на каждый сервер, который хотите защитить; собирает данные и гонит их на Manager
- Agentless mode — если ставить агент некуда (сетевое оборудование, legacy-железо), мониторинг идёт через SSH
Что умеет OSSEC из коробки:
- Анализ логов в реальном времени — syslog, Apache, Nginx, auth.log, Windows Event Log и многое другое
- File Integrity Monitoring (FIM) — моментально видит, если кто-то тронул критический файл
- Поиск rootkit'ов через проверку файловой системы и ядра
- Active Response — сам блокирует подозрительные IP через iptables или firewalld, без вашего участия
- Compliance-проверки — PCI DSS, HIPAA, CIS Benchmarks; удобно, когда нужен аудит
Оставить комментарий