OSSEC 能否用于检查 docker 内的文件。从我读过的内容来看,OSSEC 只能监控主机的文件完整性。
1 回答
是的,您可以配置 OSSEC 或 Wazuh 代理在 docker 容器中进行文件完整性监控。
Docker 使用 OverlayFS 存储驱动程序将容器的文件结构放置在/var/lib/docker/overlay2/
目录中(或/var/lib/docker/overlay/
旧版本中),更多信息可以在这里找到:https ://docs.docker.com/storage/storagedriver/overlayfs-driver/
要确定您希望监控的容器所在的文件夹,您可以使用 inspect 命令:docker inspect <container-name> | grep MergedDir
然后配置 OSSEC 或 Wazuh 来监控此路径。
例如,假设您有一个 nginx 容器并想要监控其配置文件:
第一步是确定容器的文件夹:
# docker inspect docker-nginx | grep MergedDir
"MergedDir": "/var/lib/docker/overlay2/4f38dc4ff95f934ad368ca2770e7641f5cd492c289d2fd717fee22bda60b3560/merged"
然后在ossec.conf
您的 OSSEC 或 Wazuh 代理的文件中添加要监控的目录:
<syscheck>
<directories check_all="yes" realtime="yes" restrict="*.conf">/var/lib/docker/overlay2/4f38dc4ff95f934ad368ca2770e7641f5cd492c289d2fd717fee22bda60b3560/merged/etc/nginx/</directories>
</syscheck>
可以在此处找到有关如何配置文件完整性监控的详细说明:https ://documentation.wazuh.com/3.13/user-manual/capabilities/file-integrity/fim-configuration.html
如果您还想监控 docker 服务器活动,可以使用 Wazuh docker 模块: https ://documentation.wazuh.com/3.13/docker-monitor/monitoring_containers_activity.html
此致,
桑德拉。