'/etc/client.keys' not found.
2011/06/11 17:46:27 ossec-remoted(1750): ERROR: No remote connection
configured. Exiting.
2011/06/11 19:04:55 os_sendmail(1765): WARN: RCPT TO not accepted by server
- 'testadfa@gmail.com'.
Remoted 是与远程接收信息有关的,它没有正常工作,提示说不存在/etc/client.keys
文件,我们需要创建客户端才有这个文件。我们随便创建一个客户端好了,如下:
[root@as5664bitsec ossec-hids-2.5.1]# /var/ossec/bin/manage_agents
****************************************
* OSSEC HIDS v2.5.1 Agent manager. *
* The following options are available: *
****************************************
(A)dd an agent (A).
(E)xtract key for an agent (E).
(L)ist already added agents (L).
(R)emove an agent (R).
(Q)uit.
Choose your action: A,E,L,R or Q: A
- Adding a new agent (use '\q' to return to the main menu).
Please provide the following:
* A name for the new agent: test1
* The IP Address of the new agent: 192.168.14.162
* An ID for the new agent[001]:
Agent information:
ID:001
Name:test1
IP Address:192.168.14.162
Confirm adding it?(y/n): y
2011/06/11 19:04:55 ossec-maild(1223): ERROR: Error Sending email to
74.125.93.27 (smtp server)
Agent added.
顺便说一下这个客户端管理程序,其功能在上面也写的很清楚了,添加客户端、给客户
端分配 KEY、列出客户端、删除客户端、退出等。
这个时候我们将程序stop了再 start,就可以发现有1514端口了,如下:
[root@as5664bitsec ossec-hids-2.5.1]# netstat -nlpu|grep 1514
udp 0 0 0.0.0.0:1514 0.0.0.0:*
4452/ossec-remoted
说明正常了,同时在启动的时候我们tail –f /var/ossec/logs/ossec.log这个文件,
我们就大概知道ossec 启动过程中发生了什么事情,比如测试规则、加载规则、监控目录、
读取日志等等,这样可以更深入的了解ossec的工作原理。
安装 Linux 客户端
服务端安装成功了,我们接下来安装Linux 客户端。Linux客户端安装和服务端是一样
的,只是在./install.sh安装过程中的提示的时候填写agent就好了,步骤如下:
安装过程中的关键信息如下:
cd /usr/local/src/
wget http://www.ossec.net/files/ossec-hids-2.5.1.tar.gz
tar xzvf ossec-hids-2.5.1.tar.gz
cd ossec-hids-2.5.1
./install.sh
安装过程中的提示及操作主要信息如下(有部分省略):
1- 您希望哪一种安装 (server, agent, local or help)? agent
- 选择了 Agent(client) 类型的安装.
2- 正在初始化安装环境.
- 请选择 OSSEC HIDS 的安装路径 [/var/ossec]:
- OSSEC HIDS 将安装在 /var/ossec .
3- 正在配置 OSSEC HIDS.
3.1- 请输入 OSSEC HIDS 服务器的IP地址: 192.168.14.207
- 添加服务器IP 192.168.14.207
3.2- 您希望运行系统完整性检测模块吗? (y/n) [y]: y
- 系统完整性检测模块将被部署.
3.3- 您希望运行 rootkit检测吗? (y/n) [y]: y
- rootkit检测将被部署.
3.4 - 您希望开启联动(active response)功能吗? (y/n) [y]: n
- 联动功能(Active response)被关闭.
3.5- 设置配置文件以分析一下日志:
-- /var/log/messages
-- /var/log/secure
-- /var/log/maillog
-如果你希望监控其他文件, 只需要在配置文件ossec.conf中
添加新的一项.
任何关于配置的疑问您都可以在 http://www.ossec.net 找到答案.
- 您必须首先将该代理添加到服务器端以使他们能够相互通信.
这样做了以后,您可以运行'manage_agents'工具导入
服务器端产生的认证密匙.
/var/ossec/bin/manage_agents
根据上面的提示,我们需要先在服务端创建一个客户端,然后在客户端导入密钥才能让客户 |