Это раздражало последние несколько дней, и мне еще предстоит выяснить основную причину.
В лабораторной работе я установил две виртуальные машины, OSSEC Server Appliance и клиент Windows 7 x64 Enterprise SP1.
Кажется, оба работают достаточно хорошо когда они делают свои дела. Если у меня есть обширный файл конфигурации на клиенте Windows, агент читает его и делает то, что требуется.
Проблема возникает, когда я пытаюсь централизовать конфигурацию к "менеджеру" или OSSEC Server Appliance.
[root@ossec etc]# md5sum /var/ossec/etc/shared/agent.conf
9cc4c937f4eae011ecbccf4468973133 /var/ossec/etc/shared/agent.conf
[root@ossec etc]# /var/ossec/bin/agent_control -i 004
OSSEC HIDS agent_control. Agent information:
Agent ID: 004
Agent Name: ABC
IP address: 192.168.0.93
Status: Active
Operating system: Microsoft Windows 7 Enterprise Edition Professional ..
Client version: OSSEC HIDS v2.9.0 / cd66e10fca4cc1dc4c459a1f05f9b2d1
Last keep alive: Sat Oct 7 22:52:09 2017
Syscheck last started at: Sat Oct 7 21:35:12 2017
Rootcheck last started at: Sat Oct 7 22:27:19 2017
[root@ossec etc]#
Неудивительно, что конфигурации не совпадают.
То, что должно быть простым исправлением перезапуска и устройства, и агента Windows (и ожидания нескольких минут), оказывается не так.
Прочитав документацию, я понял, что агент попытается объединить централизованную конфигурацию:
<agent_config name="ABC">
<localfile>
<location>/var/log/my.log2</location>
<log_format>syslog2</log_format>
</localfile>
</agent_config>
<agent_config os="Linux">
<localfile>
<location>/var/log/my.log2</location>
<log_format>syslog</log_format>
</localfile>
</agent_config>
<agent_config os="Windows">
<!-- This is a test config -->
<!-- One entry for each file/Event log to monitor. -->
<localfile>
<location>Application</location>
<log_format>eventlog</log_format>
</localfile>
<!-- Additional contents are in here. -->
<active-response>
<disabled>no</disabled>
</active-response>
</agent_config>
С тем, что есть на месте. Вот конфигурация агента (ossec.conf):
<ossec_config>
<active-response>
<disabled>no</disabled>
</active-response>
<client>
<server-ip>192.168.0.21</server-ip>
<notify_time>120</notify_time>
<time-reconnect>240</time-reconnect>
</client>
</ossec_config>
и файл agent.conf в общей папке на агенте:
<agent_config>
<localfile>
<location>/var/log/my.log</location>
<log_format>syslog</log_format>
</localfile>
</agent_config>
Из журнала видно, что слияние не происходит, выполняется локальная копия:
2017/10/08 00:06:52 ossec-agentd: INFO: Trying to connect to server 192.168.0.21, port 1514.
2017/10/08 00:06:52 INFO: Connected to 192.168.0.21 at address 192.168.0.21:1514, port 1514
2017/10/08 00:06:52 ossec-agent: Starting syscheckd thread.
2017/10/08 00:06:52 ossec-syscheckd(1702): INFO: No directory provided for syscheck to monitor.
2017/10/08 00:06:52 ossec-syscheckd: WARN: Syscheck disabled.
2017/10/08 00:06:52 ossec-rootcheck: INFO: Started (pid: 2512).
2017/10/08 00:06:52 ossec-syscheckd: INFO: Started (pid: 2512).
2017/10/08 00:06:53 ossec-agentd(4102): INFO: Connected to server 192.168.0.21, port 1514.
2017/10/08 00:06:53 ossec-agent: INFO: System is Vista or newer (Microsoft Windows 7 Enterprise Edition Professional Service Pack 1 (Build 7601) - OSSEC HIDS v2.9.0).
2017/10/08 00:06:53 ossec-logcollector(1103): ERROR: Could not open file '/var/log/my.log' due to [(9)-(Bad file descriptor)].
2017/10/08 00:06:53 ossec-logcollector(1950): INFO: Analyzing file: '/var/log/my.log'.
В конце концов, похоже, что агент / менеджер не может:
Мне не удалось установить параметр на устройстве / диспетчере, или проблема в другом?
Итак, после неудачного security.stackexchange.com
, вопрос был перенесен сюда. Потратив на это несколько дополнительных дней, я нашел «решение».
Вы можете свести это к следующему: найти другое решение HIDS.
Я пришел к такому выводу, попробовав обширный список вещей:
Чтобы получить разумную установку, что, по крайней мере, сработало (отчасти), я выполнил следующие шаги:
firewall-cmd --permanent --zone=public --add-port=1514/udp
firewall-cmd --reload
yum install mysql-devel postgresql-devel gcc wget vim
wget https://github.com/ossec/ossec-hids/archive/2.9.2.tar.gz
tar -zxvf 2.9.2.tar.gz
cd ossec-hids-2.9.2
./install.sh
server
введите для установки./var/ossec/bin/manage_agents
vim /var/ossec/etc/shared/agent.conf
/var/ossec/bin/ossec-control start
Что было здорово, после того, как я потратил много часов, так это то, что вся моя работа была потрачена зря. Я нашел, как настроить клиент Windows на уровень отладки 2, и обнаружил сообщение:
2017/10/20 02:13:40 ossec-agentd: Failed md5 for: shared/merged.mg -- deleting.
Оказывается, на «нормальном» уровне журнала не выводится предупреждение о том, что критическое слияние конфигурации не удалось (серьезно !?).
Еще я был впечатлен тем фактом, что сервер не смог получить хэш md5 конфигурации клиента после перезапуска сервера и клиента (попытка № 2 - № 14).
За один прогон с OVA (попытка №1) сервер смог получить клиентский md5 конфигурации, но он не совпал с сервером. Вы можете увидеть это в моем первоначальном вопросе. Я думаю, что md5 от агента был отправлен, потому что я добавил несколько дополнительных файлов в каталог conf на агенте (в основном agent.conf).
В чистом раздражении я обратился к Интернету и обнаружил обсуждение группы Google для OSSEC. После прочтения всей цепочки сообщений стало очевидным в OSSEC есть серьезный недостаток:
Как я уже говорил ранее, IMHO проблема затрагивает агентов Windows и UNIX, но это чаще встречается в Windows, потому что буфер по умолчанию короче. У нас была эта проблема с агентом Windows в частной сети VirtualBox: общий файл не прибыл. При включенной отладке мы увидели сообщение:
ossec-agent: Failed md5 for: merged.mg -- deleting.
Итак, мы провели этот тест: мы изменили исходный код, чтобы предотвратить удаление файла, хотя он был поврежден, и сравнили полученный файл с исходным: некоторые фрагменты файла действительно были потеряны, это не было проблемой окончания строки.
Общие фрагменты файлов могут быть потеряны из-за протокола UDP, а также из-за любого другого события агента или управляющего сообщения. На самом деле использование TCP кажется хорошим решением этой проблемы. Мы реализовали TCP-связь в Wazuh год назад, начиная с версии 1.1, и достигли некоторых преимуществ:
No event losing. Communication is reliable for events, control messages and Active response requests. Agents detect that a manager is down immediately, so they are able to "lock" the transmission in order to prevent events from being dropped.
Агенты с TCP-соединением правильно работают во многих системах, использующих Linux, Windows, OpenBSD, macOS, AIX и т. Д.
Это не то, что я ожидал прочитать. Больше всего меня беспокоит то, что инфраструктура OSSEC может выйти из строя просто из-за потери пакетов. Еще более тревожно то, что на нормальном уровне журнала невозможность объединения конфигурации даже не отображается.
Пока я тестировал только агентов Windows, Я не сомневаюсь, что агенты Linux работают. Возможно, в будущем OSSEC перейдет на TCP-соединения, но на данный момент OSSEC не хватает критически важной функциональности.
tldr; Все сводится к (по крайней мере, на мой взгляд) плохому тестированию / контролю качества программного обеспечения. Я узнал из Обсуждения в группе Google Соединения UDP вызывают проблемы, а проверка передачи данных ограничена. Из-за повреждения конфигурации диспетчера при передаче клиент отказывается объединить ее. Это происходит только на клиентах Windows.