RockyLinux入侵检测系统部署（手把手教你搭建OSSEC入侵检测系统）

准备工作

在开始之前，请确保你已具备以下条件：

• 一台运行 RockyLinux 8 或 9 的服务器
• 具有 sudo 权限的用户账户
• 服务器已连接互联网（用于下载软件包）

步骤一：更新系统并安装依赖

首先，登录你的 RockyLinux 服务器，执行系统更新并安装必要的编译工具：

sudo dnf update -ysudo dnf install -y gcc make wget tar policycoreutils-python-utils libcap-devel zlib-devel openssl-devel pcre2-devel systemd-devel  

步骤二：下载并编译OSSEC

进入临时目录，下载OSSEC源码包（以最新稳定版为例）：

cd /tmpwget https://github.com/ossec/ossec-hids/archive/refs/tags/3.7.0.tar.gztar -xzf 3.7.0.tar.gzcd ossec-hids-3.7.0  

步骤三：运行安装脚本

执行安装脚本，按照提示进行配置：

sudo ./install.sh  

安装过程中你会看到如下选项：

1. 选择语言（默认 en）
2. 选择安装类型：server（如果你只监控本机）或 local（单机模式）
3. 设置邮件通知（可选，建议先跳过）
4. 是否启用系统完整性检查（建议启用）
5. 是否启用 rootkit 检测（建议启用）
6. 设置日志分析规则（根据你的服务选择，如 sshd、apache 等）

完成配置后，安装程序会自动编译并安装 OSSEC 到 /var/ossec/ 目录。

步骤四：启动并启用OSSEC服务

安装完成后，启动 OSSEC 并设置开机自启：

sudo /var/ossec/bin/ossec-control startsudo systemctl enable ossec  

你可以通过以下命令查看服务状态：

sudo /var/ossec/bin/ossec-control status  

步骤五：验证入侵检测功能

尝试手动触发一个告警来测试系统是否正常工作。例如，多次错误登录 SSH：

# 在另一台机器上执行（替换 your_server_ip）ssh invaliduser@your_server_ip  

连续失败几次后，OSSEC 会记录日志并可能触发告警。查看日志：

sudo tail -f /var/ossec/logs/alerts/alerts.log  

常见问题与优化建议

• 防火墙设置：确保 firewalld 或 iptables 允许本地回环通信。
• SELinux：若启用 SELinux，可能需要调整策略。可临时设为 permissive 模式测试：
  sudo setenforce 0
• 日志轮转：定期清理日志避免磁盘占满，可配置 logrotate。

结语

通过以上步骤，你已经成功在 RockyLinux 上部署了 OSSEC 入侵检测系统。这不仅能提升服务器的安全防护能力，也是实现Linux安全加固的关键一步。建议定期查看告警日志，并根据实际业务调整检测规则。

掌握OSSEC安装教程后，你还可以将其扩展为集中式管理（部署 OSSEC Manager + 多个 Agent），实现对多台服务器的统一监控。希望这篇关于入侵检测系统部署的教程对你有所帮助！