一、HIDS简介

        主机型入侵检测系统(Host-based Intrusion Detection System 简称:HIDS);HIDS作为主机的监视器和分析器,主要是专注于主机系统内部(监视系统全部或部分的动态的行为以及整个系统的状态)

        HIDS使用传统的C/S架构,只需要在监测端安装agent即可,且使用用户无感知,不影响现有的业务内容和用户使用,实现本地的安全监测(agent是实时反馈、误报率低,可快速检测到异常行为)。

HIDS与EDR对比
对比指标名称 HIDS EDR
面向对象 面向主机(服务器)为主

面向终端(PC)为主
功能侧重点 侧重入侵行为检测 侧重入侵行为检测与响应一体
资源占用情况
系统入侵性
维护难度
安全性

二、Elkeid社区版的实操安装部署流程

Elkeid/elkeidup/deploy-zh_CN.md at main · bytedance/Elkeidicon-default.png?t=O83Ahttps://github.com/bytedance/Elkeid/blob/main/elkeidup/deploy-zh_CN.md

Elkeid/elkeidup/configuration-zh_CN.md at main · bytedance/Elkeidicon-default.png?t=O83Ahttps://github.com/bytedance/Elkeid/blob/main/elkeidup/configuration-zh_CN.md 

2.1、Elkeid简介

        Elkeid 是一种开源解决方案,可以满足主机、容器和 K8s 等各种工作负载以及 server 的安全需求。它源自字节跳动的内部最佳实践。

Elkeid关键功能说明
序号 Elkeid功能说明
1 Elkeid 不仅具有传统的 HIDS(Host Intrusion Detection System)主机层入侵检测和恶意文件识别能力,而且能够很好地识别容器中的恶意行为。可以满足主机及其上容器的防侵安全需求,Elkeid 底层强大的内核级数据采集能力可以满足大多数安全分析师对主机级数据的渴望
2 对于运行业务,Elkeid 具有 RASP 能力,可以注入到业务流程中进行防侵防护,不仅运维人员不需要安装另一个 Agent,业务也不需要重启
3 对于 K8s 本身,Elkeid 支持采集到 K8s 审计日志中,以便在 K8s 系统上进行入侵检测和风险识别
4 Elkeid 的规则引擎 Elkeid HUB 也可以与外部多个系统很好地链接

 

2.2、安装Elkeid的准备工作 

Elkeid所部署主机的最低硬件建议
序号 Elkeid所部署主机的最低硬件建议
1 内存>=8G
2 双核CPU
3 硬盘空间>=50G
Elkeid所部署的主机系统内容要求
序号 Elkeid所部署的主机系统内容要求
1 部署所用的后端服务器需要仅供Elkeid使用
2 部署所用的后端服务器需要保证内网互通,也仅支持内网部署
3 部署所用的后端服务器部署时需要有 root 用户权限
4 部署所用的后端服务器只能使用:Centos7 及以上;Ubuntu16 及以上;Debian9 及以上
5 执行elkeidup的服务器需要能以root用户免密码ssh到所有的后端服务器上
6 部署过程不可以手动打断
7 仅可以使用局域网IP,不要使用 127.0.0.1 或者 hostname 或者公网IP
8 安装后不要删除 目录~/.elkeidup
9 不要修改任何组件的密码,包括Elkeid Console(Manager)初始默认用户

2.3、Elkeid社区版在Centos7的安装步骤

2.3.1、下载Elkeid的镜像

下载的Elkeid镜像放置在[/tmp]目录下;或者[/opt]目录下;

# 从release下载的是四个分卷的镜像(00、01、02、03),四个分卷镜像下载好后需要先合并为一个镜像
wget https://github.com/bytedance/Elkeid/releases/download/v1.9.1.4/elkeidup_image_v1.9.1.tar.gz.00
wget https://github.com/bytedance/Elkeid/releases/download/v1.9.1.4/elkeidup_image_v1.9.1.tar.gz.01
wget https://github.com/bytedance/Elkeid/releases/download/v1.9.1.4/elkeidup_image_v1.9.1.tar.gz.02
wget https://github.com/bytedance/Elkeid/releases/download/v1.9.1.4/elkeidup_image_v1.9.1.tar.gz.03
cat elkeidup_image_v1.9.1.tar.gz.* > elkeidup_image_v1.9.1.tar.gz

注意:下载的这个Elkeid的四个分卷镜像比较大(3.39G),需要耐心等待下载完成后合并。

2.3.2、将Elkeid镜像导入Docker中

注意:在导入Elkeid镜像前需要先安装docker

Docker的介绍、保姆级安装和使用_docker保姆级安装教程-CSDN博客icon-default.png?t=O83Ahttps://coffeemilk.blog.csdn.net/article/details/141286596

在docker安装完成后再将Elkeid的镜像导入到docker中(由于Elkeid镜像较大导入到docker会比较耗时,需要耐心等待,在等待期间不要进行任何操作):

docker load -i elkeidup_image_v1.9.1.tar.gz

 2.3.3、运行docker中的Elkeid容器

docker run -d --name elkeid_community \
  --restart=unless-stopped \
  -v /sys/fs/cgroup:/sys/fs/cgroup:ro \
  -p 8071:8071 -p 8072:8072 -p 8080:8080 \
  -p 8081:8081 -p 8082:8082 -p 8089:8080  -p 8090:8090\
  --privileged \
  elkeid/all-in-one:v1.9.1

2.3.4、进入Elkeid容器进行配置

注意:在进入Elkeid容器前需要对部署该Elkeid的服务器配置静态固定IP内容:

VMware的Centos8配置静态地址且可以ping通百度_centos8ping百度-CSDN博客icon-default.png?t=O83Ahttps://blog.csdn.net/xiaochenXIHUA/article/details/1272107421、进入Elkeid容器内部

docker exec -it elkeid_community bash

2、进入Elkeid容器的目录下

cd /root/.elkeidup/

3、配置Elkeid容器所在服务器的IP地址

./elkeidup public 192.168.166.145

4、构建Elkeid给客户端使用的agent

./elkeidup agent init
./elkeidup agent build
./elkeidup agent policy create

 5、查看Elkeid的链接和账号密码信息

cat ~/.elkeidup/elkeid_passwd

2.4、进入Elkeid的管理控制台和给主机安装agent

2.4.1、进入Elkeid的管理控制台

http://Elkeid所在服务器的静态IP地址:8082

2.4.2、给主机安装agent

         进入【系统管理】-->【安装配置】就可以看到agent的安装配置操作,根据界面给出的安装步骤进行操作即可。

 检查Agent网络连通性

cat /etc/elkeid/log/elkeid-agent.log | grep 'get connection successfully'

 注意:如果在其他主机上成功安装了agent,但是在Elkeid管理控制台上没有获取到【主机列表】,那需要检查Elkeid所在服务器的防火墙是否开放了(8080、8081、8082、8083、8089、9092)端口。

2.4.3、Elkeid管理控制功能使用

Elkeid/server/docs/console_tutorial/Elkeid_Console_manual.md at main · bytedance/Elkeid · GitHubElkeid is an open source solution that can meet the security requirements of various workloads such as hosts, containers and K8s, and serverless. It is derived from ByteDance's internal best practices. - Elkeid/server/docs/console_tutorial/Elkeid_Console_manual.md at main · bytedance/Elkeidicon-default.png?t=O83Ahttps://github.com/bytedance/Elkeid/blob/main/server/docs/console_tutorial/Elkeid_Console_manual.md#%E5%AE%89%E8%A3%85%E9%85%8D%E7%BD%AE 

三、关于HIDS相关术语说明资料

EPP、EDR、CWPP、HIDS的区别 | 长亭百川云icon-default.png?t=O83Ahttps://rivers.chaitin.cn/blog/cqli8k10lnec5jjug6k0数世咨询:主机检测与响应(HDR)能力指南icon-default.png?t=O83Ahttps://www.dwcon.cn/post/2142终端安全 - Bonne_chance - 博客园icon-default.png?t=O83Ahttps://www.cnblogs.com/bonne-chance/p/15802372.htmlRASP技术进阶系列(三):重大漏洞自动化热修复-安全客 - 安全资讯平台icon-default.png?t=O83Ahttps://www.anquanke.com/post/id/285916HW蓝队/红军——安全布防icon-default.png?t=O83Ahttps://www.xuchang.dev/post/2cbc6cfa#HIDS%E7%9A%84%E9%85%8D%E7%BD%AE%E5%92%8C%E7%AD%96%E7%95%A5%E8%B0%83%E4%BC%98

Logo
腾讯云开发者社区

腾讯云面向开发者汇聚海量精品云计算使用和开发经验,营造开放的云计算技术生态圈。

更多推荐

终极指南:Flink SQL连接器版本管理从混乱到有序的升级之路

Apache Flink作为流处理领域的佼佼者,其SQL连接器的版本管理一直是开发者面临的核心挑战。本文将系统讲解Flink SQL连接器版本管理的最佳实践,帮助你轻松应对版本兼容性问题,实现从混乱到有序的升级之旅。## 连接器版本管理的常见痛点 😫在Flink应用开发中,连接器版本管理常常让开发者头疼不已。不同版本的连接器可能导致各种兼容性问题,例如API变更、功能差异甚至运行时错误。

avatar 腾讯云开发者社区

Elasticsearch复杂数据类型终极指南:从入门到精通

Elasticsearch作为功能强大的搜索引擎,支持多种复杂数据类型,让开发者能够灵活处理各种结构化和非结构化数据。本文将带你全面了解Elasticsearch中的复杂数据类型,从基础概念到实际应用,助你轻松掌握数据建模的核心技巧。## 内部对象:构建层级化数据结构在Elasticsearch中,对象类型(Object)是最基础的复杂数据类型之一,用于表示具有嵌套关系的数据。例如,我们可

avatar 腾讯云开发者社区

如何快速搭建Neon无服务器PostgreSQL:面向初学者的完整指南

Neon是一款革命性的无服务器PostgreSQL解决方案,它通过分离存储和计算层,实现了自动扩缩容、类代码式数据库分支以及零级扩展能力。本指南将帮助你从零开始搭建Neon开发环境,体验这款创新数据库的强大功能。## 准备工作:环境要求与依赖项在开始搭建Neon环境前,请确保你的系统满足以下要求:- Linux操作系统(推荐Ubuntu 20.04+或Debian 11+)- Git

avatar 腾讯云开发者社区