批量更新Wazuh主机配置文件和漏洞库
批量更新Wazuh主机配置文件和漏洞库综述相比较单机版本,群集化的Wazuh需要处理的第一个问题就是如何保证ossec.conf文件和漏洞库的统一配置、统一更新、统一下发。以下将使用简单的Ansible命令和Shell脚本实现前述功能。 2021.07 摄于天津北辰·天津西站 建立共享 部署Nginx 1234# 在wazuh-master上安装Nginxyum install -y nginxmkdir -p /var/www/wazuhchown -R nginx:nginx /var/www/wazuh 下载更新 12345678910111213141516171819202122232425# 下载离线文件cd /var/www/wazuh/# 下载Ubuntu 20.04的漏洞种子wget -N https://people.canonical.com/~ubuntu-security/oval/com.ubuntu.focal.cve.oval.xml.bz2# 下载RHEL 7 8的漏洞种子文件wget...
Wazuh系统的群集化改造
综述在中大型网络环境中,单台Allinone的Wazuh系统或者单节点的分布式部署Wazuh系统从性能上已经无法满足日志分析和漏洞扫描的需求,因此应当采用高可用、多节点的分布式部署来满足Wazuh对CPU和存储的要求。 序号 系统描述 配置 网络地址 系统角色 1 Lvsnode1 1c/1g 192.168.79.51 LVS+KeepLived 提供VIP和负载均衡 2 Lvsnode2 1c/1g 192.168.79.52 LVS+KeepLived...
Elasticsearch常用查询语句
节点状态相关 检查节点是否运行 1curl -XGET http://localhost:9200 检查节点健康状态 1curl -XGET http://localhost:9200/_cluster/health\?pretty 检查群集节点状态 1curl -XGET http://192.168.248.148:9200/_cat/nodes?v 分片状态相关 检查分片健康1curl http://localhost:9200/_cat/indices 检查所有分片1curl -XGET http://localhost:9200/_cat/shards 删除分片1curl -XDELETE http://127.0.0.1:9200/wazuh-alerts-3.x-2021.05.16 设置分片数1curl -XPUT "127.0.0.1:9200/_cluster/settings" -H 'Content-Type: application/json' -d...
手机短信转发电子邮件
在运维工作中,我们经常会用到公用手机不在手边的情况。比如,我们在休假或者外出期间紧急对公司注册的云资源进行变更的时候,相关验证码必须要使用短信接收,而手机却在半个城市之外的公司办公室。还有一种情况就是每天都有人来找公用手机翻检验证码,这样对当值运维人员不胜其烦。 为了避免这种情况的蔓延,找到了使用旧安卓机进行SMS2Email改造的小程序。 具体设置如下图: 效果: 该程序名称为 TranspondSMS 官网地址为:http://tsms.allmything.com Github代码库:https://github.com/xiaoyuanhost/ 除了邮件之外,它还支持钉钉、微信机器人已经web页面等告警方式,以后会慢慢深入它的应用。
建立内网Linux防病毒系统
ClamAV本来是为了Postfix邮件网关而开发的防毒软件,主要目的是对邮件队列里面的邮件进行病毒查杀。然后,这个防毒模块独立出来成为一个提供病毒、恶意软件、蠕虫的查杀能力的开源软件,成为了Linux环境下实现文件安全的主要选择。� 部署ClamAV 添加EPEL源12345678910111213# ClamAV的RHEL/CentOS源是直接用epel来发布的yum cleanallyum makecacheyum install -y git python3-pipyum install -y epel-release# 添加华为云源sed -i "s/#baseurl/baseurl/g" /etc/yum.repos.d/epel.reposed -i "s/metalink/#metalink/g" /etc/yum.repos.d/epel.reposed -i "s@https\?://download.example/pub@https://repo.huaweicloud.com@g"...
使用Wazuh检测PostgreSQL漏洞
本文的源于领导的一句问句,Wazuh能监控PG数据库的漏洞么?然后结合实际环境搭建了一套环境进行了测试。结论是:能,然而并不能。 使用操作系统官方软件库 安装数据库 123yum makecache# 系统自带版本为10yum install -y postgresql postgresql-server 启动数据库 123# 启动服务postgresql-setup initdbsystemctl enable postgresql.service --now 执行漏洞检测 使用数据库官方软件库 安装数据库123456# 安装PG官方源yum install -y https://download.postgresql.org/pub/repos/yum/reporpms/EL-8-x86_64/pgdg-redhat-repo-latest.noarch.rpm# 更新源,时间较长,需要确认添加那个版本PG,我们以12版本为例yum makecache# 安装数据库yum install -y postgresql12...
通过Wazuh实现漏洞扫描
Wazuh是个复杂的积木式系统,由ossec、ElasticStack和wazuh插件以及第三方的漏扫、病毒查杀、文件监控等等安全工具组合而成。本文将简述Wazuh的漏洞扫描模块的使用。 应用原理 Wazuh不是一个漏洞扫描工具,它只是借助本身的功能模块来实现对操作系统的漏洞监控; Wazuh的漏扫依赖于Agent的对系统软件版本的扫描,上传至Master节点之后,通过在线或者离线加载的各个操作系统官方发布的CVE数据库以及美国政府发布的NVD数据库来进行对比,从而实现漏洞的检查和告警; Wazuh不使用爬虫、端口扫描等传统漏扫技术路径,所以对客户端主机的性能影响极小; Wazuh官方支持对数据库、中间件等软件进行漏洞扫描,但只支持操作系统发行官方库中的包,因为它是简单的按照软件包名来进行对比的; Wazuh可以对接Clamav、Suricata等其他安全系统。 漏洞扫描模块 配置离线文件123456789101112131415161718192021222324252627282930313233343536# 在wazuh-master上安装Nginxyum...
Wazuh的基本部署
...
终端安全系统WAZUH的介绍
简介[Wazuh](Wazuh · The Open Source Security...