CentOS7.5 のサーバを2台使用して、OSSEC のマネージャとエージェントをインストールしてみました。
今回は、下記のような構成にしました。
192.168.0.31 エージェント(監視対象)
192.168.0.36 マネージャ(管理サーバ)
OSSECマネージャ
マネージャはクライアントからの通信とsyslogを待ち受けるために 1514/udp のポートを開けておきます。
$ sudo firewall-cmd --add-port=1545/udp --permanent $ sudo firewall-cmd --reload
OSSEC のインストールに yum を使用する場合は、atomic リポジトリを追加します。途中で問い合わせが2~3回ありますが、デフォルトのままで良いのでエンターキーを押して進めます。
$ sudo wget -q -O - http://www.atomicorp.com/installers/atomic | sh
yum を使用してインストールします。
$ sudo yum install ossec-hids ossec-hids-server
インストールできたら起動します。
$ sudo systemctl start ossec-hids
エージェントを登録します。
$ sudo /var/ossec/bin/manage_agents
対話形式で進んでいきますので、Addの[A]、エージェントの名前、IPアドレス、IDを入力します。IDはデフォルトで表示されているもの(001など)のままにしておきます。
続けてエージェント用のキーを発行します。Extract keyの[E]、エージェントIDを選択、表示されたキーをコピーしておきます。
OSSECエージェント
atomic リポジトリが追加されていない場合は追加します。
$ sudo wget -q -O - http://www.atomicorp.com/installers/atomic | sh
yum を使用してインストールします。Web上の情報を参考に進めていたのですが、ossec-hids-client というパッケージ名ではインストールできませんでした。ossec-hids-agent に変更になったようです。
$ sudo yum install ossec-hids ossec-hids-agent
エージェントにキーを登録します。
$ sudo /var/ossec/bin/manage_agent
こちらも対話形式で進みますので、Import の[I]、Paste it here: に、先ほどコピーしたキーを貼り付けます。
エージェントのエラーログに、Remoteコマンドが実行できないというエラーメッセージが記録されたので、リモートコマンドを実行できる設定にします。
ossec-logcollector: Remote commands are not accepted from the manager. Ignoring it on the agent.conf
ossec-logcollector(1202): ERROR: Configuration error at '/var/ossec/ossec-agent/etc/shared/agent.conf'. Exiting.
$ sudo vi /var/ossec/etc/internal_options.conf
logcollector.remote_commands=1
エージェントを起動します。
$ sudo /var/ossec/bin/ossec-control start
起動すると、初期スキャンや rootkit のチェックなどが行われますので、リアルタイムスキャンが開始されるまで10分程度の時間がかかるようです。
0件のコメント