Ossec sur ubuntu

Soumis par drupal_admin le sam 02/03/2019 - 14:16

Installation OSSEC client sur une Ubuntu 16.04.
Pré-requis :
apt-get install tcl-expect expect
Récupérer le paquet adéquat, ici "ossec-hids-agent_3.2.0-6132xenial_amd64.deb" sur le site atomicorp : https://updates.atomicorp.com/channels/ossec/ubuntu/pool/main/o/ossec-hids-agent/
L'installation se fait directement par "dpkg".
Afin de rendre le paquet "actif" il faut :
A) Lui donner l'adresse du serveur central.
fichier "/var/ossec/etc/ossec.conf" variable <server-ip>.

B) l'autoriser à se connecter au serveur OSSEC.
Sur le serveur (dans /var/ossec/bin) :

./manage_agent
1) supprimer l'agent de l'ancienne machine, eh oui c'est un remplacement : option "R"

... liste des agents enregistrés
Provide the ID of the agent to be removed (or '\q' to quit): 003
Confirm deleting it?(y/n): y
Agent '003' removed.

2) Ajouter la nouvelle machine. (A)
- Adding a new agent (use '\q' to return to the main menu).
  Please provide the following:
   * A name for the new agent: xxxxxxx
   * The IP Address of the new agent: 192.168.X.Y
   * An ID for the new agent[999]:
Agent information:
   ID:999
   Name:mail
   IP Address:192.168.X.Y

Confirm adding it?(y/n): y
3) Extraire la clef : (E)
Available agents:
... liste des agents connus ...
Provide the ID of the agent to extract the key (or '\q' to quit):  999
xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx

** Press ENTER to return to the main menu.

Garder la clef à l'écran !

Sur le client (/var/ossec/bin) :
./manage_agents
****************************************
* OSSEC HIDS v3.2.0 Agent manager.     *
* The following options are available: *
****************************************
   (I)mport key from the server (I).
   (Q)uit.
Choose your action: I or Q: I
* Provide the Key generated by the server.
* The best approach is to cut and paste it.
*** OBS: Do not include spaces or new lines.

Paste it here (or '\q' to quit): xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx
....
** You must restart OSSEC for your changes to take effect.

Il faudra encore ajuster les fichiers à contrôler (/var/ossec/etc/ossec.conf) :
Ubuntu n'a pas de "/var/log/messages" ni de "/var/log/secure" ...
Remplacer "authlog" par "auth.log", "maillog" par "mail.log" et autres ajustements avant de relancer le process. Vérifier dans /var/ossec/logs/ossec.log
J'ai rencontré un petit incident, des messages :

2019/03/02 14:48:48 ossec-syscheckd: INFO: Starting syscheck scan (forwarding database).
2019/03/02 14:48:48 ossec-syscheckd: WARN: Process locked. Waiting for permission...

présents dans /var/ossec/logs/ossec.log m'inquiètent.
Détruire les fichiers dont le nom commence par un (point) ou se termine par "=" dans les sous-répertoires de /var/ossec/queue/ , par exemple /var/ossec/queue/ossec/.wait
Mais j'ai toujours "ossec-logcollector: WARN: Process locked. Waiting for permission..." dans les logs. Après avoir stoppé serveur et client il semble que cela soit OK, maintenant wait and see ...