Назад | Перейти на главную страницу

OSSEC не запускается, ошибка: очередь недоступна

Я пытаюсь настроить OSSEC на сервере CemtOS 6.5. Он должен быть установлен как агент, а не как сервер или локальный экземпляр. Пакет успешно установлен, и я создал файл clients.key, но когда я пытаюсь запустить демон, я получаю сообщение об ошибке

error: queue not accessible (/var/ossec/etc/queue/ossec) connection refused

Файл журнала бесполезен. Я никогда не работал с OSSEC, и, к сожалению, документация кажется слабой.

После небольшого поиска в Google у большинства людей с этой проблемой неправильно установлены некоторые разрешения. Хотя я не думаю, что это так, потому что я 777 внес все в структуру каталогов OSSEC и убедился, что все файлы и каталоги принадлежат пользователю ossec.

В моем исследовании иногда проблема возникает из-за ошибок в файле правил. Насколько мне известно, у меня нет файла правил. Может в этом проблема?

Я также открыл порты UDP 514 и 1514 как для входящего, так и для исходящего трафика. Сначала я не знал, как это сделать, но, читая документацию, я думаю, что это необходимо для связи с сервером OSSEC.

Любая помощь приветствуется.

Похоже, что в процессе установки каталог был выбран неправильно. Сокет очереди обычно находится в /var/ossec/queue/ossec/queue (если установлен в /var).

Другая возможность состоит в том, что ossec-analysisd не работает, и поэтому сокет не создается должным образом.

Источники: http://ossec-docs.readthedocs.org/en/latest/faq/unexpected.html#what-does-1210-queue-not-accessible-mean

  • По умолчанию мы можем включить ответы host-deny и firewall-drop. Первый добавит хост в /etc/hosts.deny, а второй заблокирует хост на iptables (если Linux) или ipfilter (если Solaris, FreeBSD или NetBSD).

    • Их можно использовать для остановки сканирования методом перебора SSHD, сканирования портов и некоторых других форм атак. Вы также можете добавить их, например, для блокировки событий snort.

    • Вы хотите разрешить отклик на падение брандмауэра? (y / n) [y]:

Когда появится это диалоговое окно, введите n. Включение брандмауэра является основной причиной этой ошибки. Удалил старую установку с помощью rm -rf / var / ossec как с сервера, так и с агентов и переустановите.

Надеюсь, это кому-то поможет