Я пытаюсь настроить OSSEC на сервере CemtOS 6.5. Он должен быть установлен как агент, а не как сервер или локальный экземпляр. Пакет успешно установлен, и я создал файл clients.key, но когда я пытаюсь запустить демон, я получаю сообщение об ошибке
error: queue not accessible (/var/ossec/etc/queue/ossec) connection refused
Файл журнала бесполезен. Я никогда не работал с OSSEC, и, к сожалению, документация кажется слабой.
После небольшого поиска в Google у большинства людей с этой проблемой неправильно установлены некоторые разрешения. Хотя я не думаю, что это так, потому что я 777 внес все в структуру каталогов OSSEC и убедился, что все файлы и каталоги принадлежат пользователю ossec.
В моем исследовании иногда проблема возникает из-за ошибок в файле правил. Насколько мне известно, у меня нет файла правил. Может в этом проблема?
Я также открыл порты UDP 514 и 1514 как для входящего, так и для исходящего трафика. Сначала я не знал, как это сделать, но, читая документацию, я думаю, что это необходимо для связи с сервером OSSEC.
Любая помощь приветствуется.
Похоже, что в процессе установки каталог был выбран неправильно. Сокет очереди обычно находится в /var/ossec/queue/ossec/queue
(если установлен в /var
).
Другая возможность состоит в том, что ossec-analysisd
не работает, и поэтому сокет не создается должным образом.
По умолчанию мы можем включить ответы host-deny и firewall-drop. Первый добавит хост в /etc/hosts.deny, а второй заблокирует хост на iptables (если Linux) или ipfilter (если Solaris, FreeBSD или NetBSD).
Их можно использовать для остановки сканирования методом перебора SSHD, сканирования портов и некоторых других форм атак. Вы также можете добавить их, например, для блокировки событий snort.
Вы хотите разрешить отклик на падение брандмауэра? (y / n) [y]:
Когда появится это диалоговое окно, введите n. Включение брандмауэра является основной причиной этой ошибки. Удалил старую установку с помощью rm -rf / var / ossec как с сервера, так и с агентов и переустановите.
Надеюсь, это кому-то поможет