家里搭了个 NAS,或者公司用着几台小服务器跑网站、数据库,又不想花大价钱买商业防火墙?其实一套轻量级入侵检测系统(IDS)就能扛起基础防护——不占资源、配置简单、还能实时盯住异常登录和可疑扫描。
为什么选“轻量级”?
像 Snort、Suricata 这类老牌 IDS 功能强,但动辄吃掉 512MB 内存、还要配规则库更新、日志分析模块,对树莓派或低配 VPS 来说有点吃力。而像 OSSEC(现归入 Wazuh)、Samhain 或更现代的 Zeek(原 Bro)轻量模式,单核 CPU + 256MB 内存就能稳跑。比如我在一台 1 核 1GB 的腾讯云轻量应用服务器上装了 OSSEC,启动后内存占用稳定在 90MB 左右,连后台监控脚本都没卡过。
三步完成 OSSEC 部署(Ubuntu/Debian 示例)
以最常用的开源轻量方案 OSSEC 为例,全程终端敲几行命令:
wget https://github.com/ossec/ossec-hids/archive/3.7.0.tar.gz
tar -xzf 3.7.0.tar.gz
cd ossec-hids-3.7.0
sudo ./install.sh安装过程会问你选择 server 模式(集中管理多台主机)还是 local 模式(单机自检)。普通用户直接选 local,回车到底,1 分钟就装完。启动服务:
sudo /var/ossec/bin/ossec-control start默认开启文件完整性监控(比如 /etc/passwd 被改了立刻告警)、系统日志分析(SSH 暴力破解尝试超 3 次自动封 IP)、Windows 事件日志(如果混用 Windows 主机)。
改个配置,让它更“懂你”
真正让轻量 IDS 好用的,是按实际环境调一调。比如你的网站只允许北京、上海两个出口 IP 访问,其他地区扫端口一律报警,就打开 /var/ossec/etc/ossec.conf,在 <rules> 段里加一行:
<rule id="100200" level="10">
<if_matched>Failed password for.*from (114.240.|221.194.)</if_matched>
<description>疑似华东地区暴力破解</description>
</rule>保存后执行 sudo /var/ossec/bin/ossec-control reload,规则即刻生效。不用写正则高手级别代码,照着日志样例改 IP 段就行。
手机也能看告警
OSSEC 默认把告警写进 /var/ossec/logs/alerts/alerts.log,但谁天天 SSH 看日志?装个 ossec-alertd 插件,绑定企业微信或钉钉机器人,SSH 失败 5 次、有人删关键配置文件,消息秒推到手机。我老婆管着家里的群晖,她就在微信里收到过一条:“[OSSEC] 192.168.1.102 尝试修改 /etc/crontab,触发文件完整性告警”。点开一看,原来是自己忘关测试脚本,立马撤回,没误事。
轻量不是将就,而是把力气用在刀刃上——守好登录入口、盯紧关键文件、及时推送异常,这就够了。设备再小,安全不该打折。