HIDS干啥用的
管理资产/脆弱性/主机状态/合规基线检测
webshell检测
弱口令检测
登录异常检测
反弹shell检测
后门检测
本地提权检测
挖矿、勒索检测
主机漏洞管理
开放端口检测
恶意文件/程序/木马/病毒检测(特征+沙箱技术,在本地检测or传到服务端检测)
业界HIDS仅告警检测,处理动作无,不会拦截删除主机上的文件/病毒
HIDS告警信息的聚合 是必须的
经验来说,检测出的木马/病毒较少
Cgroup问题
cgroup强制限制硬件资源,如CPU、内存、设备和网络。
轻量级agent基于cgroup实现资源限制
Agent进程资源限制的Cgroup,触发几次CentOS7.2的内核Bug,导致机器不断重启