OSSEC : installation agent Linux

OSSEC : installation agent Linux jpp

Installation d'un agent sur une machine Linux, ici une distribution Debian, l'installation se fait à  partir des sources car il n'existe pas de paquet(s) Debian pour OSSEC. Les sources sont les mêmes que pour toute version Linux/Unix. 
Après détarage de l'archive on se rends dans le répertoire "ossec-hids-2.4.1" et on lance le script "install.sh". 
Je viens d'intégrer une nouvelle machine dans le système en version 2.7.1 sans aucun problème, les srcipts de comportent de manière identique. 
Après le choix de la langue (fr pour moi) un récap du système s'affiche, Entrée pour continuer : 
===================================================================

1- Quel type d'installation voulez-vous (serveur, agent, local ou aide) ? agent 
   - Installation de l'agent (client) choisie. 
  2- Définition de l'environnement d'installation. 
  - Choisissez votre répertoire d'installation de OSSEC HIDS [/var/ossec]: 
    - L'installation sera faite sur  /var/ossec . 
  3- Configuration de OSSEC HIDS. 
  3.1- Quelle est l'adresse IP de votre serveur OSSEC HIDS ?: 192.168.1.xxx 
   - Ajout de l'IP du Serveur 192.168.1.xxx 
  3.2- Voulez-vous démarrer le démon de vérification d'intégrité ? (o/n) [o]: o 
   - Lancement de syscheck (démon de vérification d'intégrité). 
  3.3- Voulez-vous démarrer le moteur de détection de rootkit ? (o/n) [o]: o 
   - Lancement de rootcheck (détection de rootkit). 
  3.4 - voulez-vous démarrer la réponse active ? (o/n) [o]: o 
  3.5- Mise en place de la configuration pour analyser les logs suivants : 
    -- /var/log/messages 
    -- /var/log/auth.log 
    -- /var/log/syslog 
    -- /var/log/xferlog 
    -- /var/log/mail.info 
    -- /var/log/squid/access.log 
    -- /var/log/dpkg.log 
    -- /var/log/snort/alert (snort-full file) 

 - Si vous voulez surveiller d'autres fichiers, changez 
   le fichier ossec.conf en ajoutant une nouvelle valeur 
   de nom de fichier local. 
   Pour toutes vos questions sur la configuration, 
   consultez notre site web http://www.ossec.net . 
   --- Appuyez sur Entrée pour continuer --- 
====================================================================== 
La compilation démarre et l'installation s'enchaîne pour se terminer en beauté ... 
====================================================================== 
 - Le Système est Debian (Ubuntu or derivative). 
 - Script d'initialisation modifié pour démarrer OSSEC HIDS pendant le boot. 
 - Configuration correctement terminée. 
 - Pour démarrer OSSEC HIDS: 
        /var/ossec/bin/ossec-control start 
 - Pour arrêter OSSEC HIDS: 
        /var/ossec/bin/ossec-control stop 
  - La configuration peut ếtre visualisée ou modifiée dans /var/ossec/etc/ossec.conf 
    Merci d'utiliser OSSEC HIDS. 
    Si vous avez des questions, suggestions ou si vous trouvez 
    un bug, contactez nous sur contact@ossec.net ou en utilisant la 
    liste de diffusion publique sur ossec-list@ossec.net 
    ( http://www.ossec.net/en/mailing_lists.html ). 

    Plus d'information peut ếtre trouver sur http://www.ossec.net 
    ---  Appuyez sur Entrée pour finir (peut-être plus d'info plus bas). --- 
... ... ... 
 - Vous devez d'abord ajouter cet agent sur le serveur pour 
   qu'ils communiquent entre eux. Quand cela sera fait, 
   vous pourrez lancer l'outil 'manage_agents' pour 
   importer la clef d'authentification depuis le serveur. 
   /var/ossec/bin/manage_agents 
   Plus d'information sur: 
   http://www.ossec.net/en/manual.html#ma

======================================================================= 
Il faut ensuite se rendre sur le serveur pour "ajouter" l'agent à  l'aide de la commande "/var/ossec/bin/manage_agents" : 
=======================================================================

 /var/ossec/bin/manage_agents 
**************************************** 
* OSSEC HIDS v2.4.1 Agent manager.     * 
* The following options are available: * 
**************************************** 
   (A)dd an agent (A). 
   (E)xtract key for an agent (E). 
   (L)ist already added agents (L). 
   (R)emove an agent (R). 
   (Q)uit. 
Choose your action: A,E,L,R or Q: A 
- Adding a new agent (use '\q' to return to the main menu). 
  Please provide the following: 
   * A name for the new agent: com-k400 
   * The IP Address of the new agent: 192.168.1.xxx 
   * An ID for the new agent[001]: 001 
Agent information: 
   ID:001 
   Name:xxxxxxxxx 
   IP Address:192.168.1.xxx 
Confirm adding it?(y/n): y 
Agent added. 
**************************************** 
* OSSEC HIDS v2.4.1 Agent manager.     * 
* The following options are available: * 
**************************************** 
   (A)dd an agent (A). 
   (E)xtract key for an agent (E). 
   (L)ist already added agents (L). 
   (R)emove an agent (R). 
   (Q)uit. 
Choose your action: A,E,L,R or Q: q 
** You must restart the server for your changes to have effect. 
manage_agents: Exiting ..

=================================================================== 
On redémarre le service OSSEC sur le serveur et ... pas de message. 
Les échanges étant authentifiés il faut ensuite procéder à  l'échange de clefs qui se fait par le même outil, sur le serveur : 
=====================================================================

 /var/ossec/bin/manage_agents 
**************************************** 
* OSSEC HIDS v2.4.1 Agent manager.     * 
* The following options are available: * 
**************************************** 
   (A)dd an agent (A). 
   (E)xtract key for an agent (E). 
   (L)ist already added agents (L). 
   (R)emove an agent (R). 
   (Q)uit. 
Choose your action: A,E,L,R or Q: E 
Available agents: 
   ID: 001, Name: com-k400, IP: 192.168.1.60 
Provide the ID of the agent to extract the key (or '\q' to quit): 001 
Agent key information for '001' is: 
xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx 
** Press ENTER to return to the main menu.

===================================================================== 
Sur l'agent on lance l'outil de management et on copiera la clef : 
=====================================================================

/var/ossec/bin/manage_agents 
**************************************** 
* OSSEC HIDS v2.4.1 Agent manager.     * 
* The following options are available: * 
**************************************** 
   (I)mport key from the server (I). 
   (Q)uit. 
Choose your action: I or Q: I 
* Provide the Key generated by the server. 
* The best approach is to cut and paste it. 
*** OBS: Do not include spaces or new lines. 
Paste it here (or '\q' to quit): xxxxxxxxxxxxxxxxxxxxxxxxxxxxxx 
Agent information: 
   ID:001 
   Name:xxxxxxxxx 
   IP Address:192.168.2.xxx 
Confirm adding it?(y/n): y 
Added. 
** Press ENTER to return to the main menu.

======================================================================= 
on peut alors démarrer le service sur la machine dont on vient d'installer l'agent. 
======================================================================= 
./ossec start 
Starting OSSEC HIDS v2.4.1 (by Trend Micro Inc.)... 
Started ossec-execd... 
Started ossec-agentd... 
Started ossec-logcollector... 
Started ossec-syscheckd... 
Completed. 
==========================================================================