CentOS8源码编译安装OSSEC+HIDS流程：从零到告警一条不落

CentOS8源码编译安装OSSEC+HIDS流程：从零到告警一条不落

服务器刚上线就被扫端口？日志里莫名出现新建用户？CentOS8源码编译安装OSSEC+HIDS流程能帮你把入侵挡在门外。下面这份笔记把踩过的坑全写进去，照着敲命令，半小时就能跑起来。

OSSEC到底能干啥

简单说，它就是24小时蹲机房的保安：文件被改、密码被暴力、进程被拉起来，全给你发邮件或微信。比起yum直接装，源码编译能打开所有检测模块，还能自己写规则，精准度直接翻倍。

下手前：把系统收拾干净

最小化装的CentOS8先换国内源，省得后面下依赖等到天荒地老。

sed -e 's|^mirrorlist=|#mirrorlist=|g' -e 's|^#baseurl=http://mirror.centos.org|baseurl=https://mirrors.aliyun.com|g' -i.bak /etc/yum.repos.d/CentOS-*.repo

接着一把梭更新：

dnf update -y && dnf groupinstall "Development Tools" -y

编译器、自动工具、SSL头文件一次到位，后面才不会缺这少那。

依赖一次装全，别来回折腾

OSSEC依赖不多，但缺一个就编译失败。

dnf install -y gcc make libffi-devel zlib-devel openssl-devel pcre2-devel libevent-devel sqlite-devel mailx

mailx用来发告警邮件，别省。如果你用微信通知，后面把脚本路径换掉即可。

创建专用用户，别让root背锅

useradd -r -s /sbin/nologin ossec

给程序单独用户，万一被钻漏洞，攻击者也拿不到root。

下载源码：认准官方仓库

直接git拉最新版，比tar包省心。

cd /usr/local/src && git clone https://github.com/ossec/ossec-hids.git

进目录后先看INSTALL，官方说明常更新，比老博客靠谱。

开始编译：三条命令搞定

cd ossec-hids

./install.sh

交互界面一路回车，类型选server，装完自带agent端。接着：

make setagent

这一步把解码器、规则全编译进去，耗时不到两分钟。

配置：把邮件和微信都打通

主配置文件在/var/ossec/etc/ossec.conf，改三处就够：

1. 邮箱地址：把<email_to>换成自己收件箱。

2. 告警级别：把<emailalertlevel>设成7，太低会收垃圾信。

3. 主动响应：把<active-response>里的firewall-drop设成yes，暴力SSH直接拉黑。

微信推送用企业微信API，写个bash丢在/var/ossec/active-response/bin，告警触发时自动调用，比邮件快十秒。

启动：先看日志再上线

/var/ossec/bin/ossec-control start

没报错就tail -f /var/ossec/logs/ossec.log，看到"ossec-syscheckd started"说明文件监控已跑。再开一台虚拟机暴力SSH，五秒内收到告警，证明链路全通。

自建规则：让告警更准

官方规则偏通用，自己写一条屏蔽内部扫描器误报。

在/var/ossec/rules/local_rules.xml里加：

<rule id="100002" level="0">

/tab<ifsid>5712</ifsid>

/tab<match>192.168.100.5</match>

/tab<description>Ignore authorized scanner</description>

</rule>

重载配置：

/var/ossec/bin/ossec-control reload

自定义规则ID要大于100000，避免和官方冲突。

升级：别直接覆盖

源码升级先停服务，把/etc和/rules备份走，再拉新代码重新编译，最后把配置拷回去，十分钟完成无缝升级。

常见坑速查

1. 编译报"pcre2.h: No such file"——漏装pcre2-devel。

2. 启动报"queue not found"——没执行make setagent。

3. 邮件发不出——mailx没配SMTP，用本地sendmail测试先。

4. 微信收不到——脚本没给执行权限，chmod 755别忘。

性能调优：让老机器也跑得动

文件监控默认每六小时全扫一次，目录大就卡死。把<scan_time>改成凌晨业务低峰，再把<ignore>里加上/var/cache、/tmp，CPU直接降一半。

上线只是开始

CentOS8源码编译安装OSSEC+HIDS流程走完，告警通道、自定义规则、主动响应全到位。后面记得每月翻一次日志，把新出现的攻击手法写成规则，让系统越用越聪明。