CentOS7.5 のサーバを2台使用して、OSSEC のマネージャとエージェントをインストールしてみました。

今回は、下記のような構成にしました。

192.168.0.31 エージェント(監視対象)

192.168.0.36 マネージャ(管理サーバ)

OSSECマネージャ

マネージャはクライアントからの通信とsyslogを待ち受けるために 1514/udp のポートを開けておきます。

$ sudo firewall-cmd --add-port=1545/udp --permanent
$ sudo firewall-cmd --reload

OSSEC のインストールに yum を使用する場合は、atomic リポジトリを追加します。途中で問い合わせが2~3回ありますが、デフォルトのままで良いのでエンターキーを押して進めます。

$ sudo wget -q -O - http://www.atomicorp.com/installers/atomic | sh

yum を使用してインストールします。

$ sudo yum install ossec-hids ossec-hids-server

インストールできたら起動します。

$ sudo systemctl start ossec-hids

エージェントを登録します。

$ sudo /var/ossec/bin/manage_agents

対話形式で進んでいきますので、Addの[A]、エージェントの名前、IPアドレス、IDを入力します。IDはデフォルトで表示されているもの(001など)のままにしておきます。

続けてエージェント用のキーを発行します。Extract keyの[E]、エージェントIDを選択、表示されたキーをコピーしておきます。

OSSECエージェント

atomic リポジトリが追加されていない場合は追加します。

$ sudo wget -q -O - http://www.atomicorp.com/installers/atomic | sh

yum を使用してインストールします。Web上の情報を参考に進めていたのですが、ossec-hids-client というパッケージ名ではインストールできませんでした。ossec-hids-agent に変更になったようです。

$ sudo yum install ossec-hids ossec-hids-agent

エージェントにキーを登録します。

$ sudo /var/ossec/bin/manage_agent

こちらも対話形式で進みますので、Import の[I]、Paste it here: に、先ほどコピーしたキーを貼り付けます。

エージェントのエラーログに、Remoteコマンドが実行できないというエラーメッセージが記録されたので、リモートコマンドを実行できる設定にします。

ossec-logcollector: Remote commands are not accepted from the manager. Ignoring it on the agent.conf
ossec-logcollector(1202): ERROR: Configuration error at '/var/ossec/ossec-agent/etc/shared/agent.conf'. Exiting.
$ sudo vi /var/ossec/etc/internal_options.conf
logcollector.remote_commands=1

エージェントを起動します。

$ sudo /var/ossec/bin/ossec-control start

起動すると、初期スキャンや rootkit のチェックなどが行われますので、リアルタイムスキャンが開始されるまで10分程度の時間がかかるようです。

カテゴリー: サーバ関連

0件のコメント

コメントを残す

アバタープレースホルダー

メールアドレスが公開されることはありません。 が付いている欄は必須項目です

このサイトはスパムを低減するために Akismet を使っています。コメントデータの処理方法の詳細はこちらをご覧ください