据我所知,OSSEC 是一个开源 HIDS。它是一个“检测系统”。我在期刊上读到,它收集日志并标记在系统(例如 Debian Server)中发现的任何异常并对其采取一些措施。
OSSEC 的一些规则中,有一种可能的方法来防止异常操作,例如,如果身份验证失败 2 次,则通过阻止 IP 600 秒来防止暴力破解。
我的问题是,OSSEC 如何处理已经传播的病毒?OSSEC 就像检测异常并采取一些措施。如果发生这种情况,ossec 会做什么。我是否可以将任何逻辑放入 ossec 规则中以断开所有网络,或者还有其他方法?可能吗?
答案1
OSSEC 有一个名为“主动响应”的选项。主动响应将取决于攻击以及您想要如何阻止它(例如 IP 禁止)。
您需要阅读有关恶意软件和 rootkit 检测的资料。还请查看 OSSEC 的 rootkit 模块。基本上,系统可能受到各种攻击或感染,但 OSSEC 足够灵活,可以配置不同的方法来检测问题。您还可以查看 rkhunter、tripwire。