slech Silver Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору OSSEC   Домашняя страница   OSSEC-HIDS (Open Source Host-based Intrusion Detection System) –хостовая система обнаружения атак в которой для определения атак используется несколько методов – анализ журналов систем и сервисов, проверка целостности файлов и реестра Windows, обнаружение rootkit, имеющая функциональность SIM (Security Information Management, Управление информацией безопасности)     Статьи Установка и настройка OSSEC-HIDS   Родственные темы Программы для проверки целостности файлов   Добавлено: Общая схема такова: 1. Ставим OSSEC Server на Linux 2. Ставим Web GUI + Apache на том же Linux   3. На OSSEC Server добавляем агента - т.е. создаём на сервере запись что у нас будет агент. 4. Устанавливаем приложение агента на ОС которую будем отслеживать, т.е. на Windows или на Linux. 5. Настраиваем в агенте key для подключения к серверу и указываем IP или имя сервера.   Далее остаются настройки в конфигах под свои нужды. Есть возможность конфиги настраивать центрилизовано на стороне сервера. Всего записей: 4893 | Зарегистр. 10-11-2004 | Отправлено: 19:26 02-01-2012 | Исправлено: slech, 18:27 14-02-2012

slech Silver Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Есть возможность удалённой настройки агентов - Centralized agent configuration WoO Day 3 : Meet the agent Выполняем на стороне сервера 1. На стороне агента указываем куда смотреть на сервер Все остальные действия выполняем на стороне сервера 2. На сервере создаём файлик, например такого содержания Код: vi /var/ossec/etc/shared/agent.conf Цитата:   <agent_config name="agent1">   <syscheck>     <!-- Frequency that syscheck is executed -- default every 2 hours -->     <frequency>7200</frequency>       <!-- Directories to check  (perform all possible verifications) -->     <directories check_all="yes">/etc,/usr/bin,/usr/sbin</directories>     <directories check_all="yes">/bin,/sbin</directories>       <!-- Files/directories to ignore -->     <ignore>/etc/mtab</ignore>     <ignore>/etc/mnttab</ignore>     <ignore>/etc/hosts.deny</ignore>     <ignore>/etc/mail/statistics</ignore>     <ignore>/etc/random-seed</ignore>     <ignore>/etc/adjtime</ignore>     <ignore>/etc/httpd/logs</ignore>     <ignore>/etc/utmpx</ignore>     <ignore>/etc/wtmpx</ignore>     <ignore>/etc/cups/certs</ignore>   </syscheck>   3. Перегружаем сервер(менеджер) Код: /var/ossec/bin/ossec-control restart 4. Перегружаем агента Код: /var/ossec/bin/agent_control -R 002 5. Смотрим информацию по конфигу на клиенте Код: /var/ossec/bin/agent_control -i 002 6. Сравниваем значения с текущим конфигом Код: md5sum /var/ossec/etc/shared/agent.conf Всего записей: 4893 | Зарегистр. 10-11-2004 | Отправлено: 18:56 03-01-2012 | Исправлено: slech, 19:04 03-01-2012

slech Silver Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Словил  на 2-ух серверах 2k8 x64. Цитата:   2012/01/05 15:04:53 ossec-rootcheck: INFO: Started (pid: 10012). 2012/01/05 15:04:53 ossec-agent: INFO: Started (pid: 10012). 2012/01/05 15:05:03 ossec-agent: WARN: Process locked. Waiting for permission... 2012/01/05 15:05:14 ossec-agent(4101): WARN: Waiting for server reply (not started). Tried: 'ossec/192.168.0.1'. 2012/01/05 15:05:16 ossec-agent: INFO: Trying to connect to server (ossec/192.168.0.1:1514). 2012/01/05 15:05:16 ossec-agent: INFO: Using IPv4 for: 192.168.0.1 . 2012/01/05 15:05:37 ossec-agent(4101): WARN: Waiting for server reply (not started). Tried: 'ossec/192.168.0.1'.     решение пока найти не удалось.   Добавлено: Со второым из этих серверов проблема решилась. Оказалось что при добавлении первого я ошибся с IP и указал IP второго. В итоге у меня получилось 2 сервера с одним и тем  же IP. Удалил первый - что с неверным IP и добавил его заново с верным IP. Перегрузил менеджера, перегрузил агента. В результате второй агент через некоторое время подключился к серверу.   Первый агент (удалённый и пересозданный) пока никак не хочет подклбчаться к серверу. Всего записей: 4893 | Зарегистр. 10-11-2004 | Отправлено: 17:10 05-01-2012

slech Silver Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Проблема судя по всему оказалась на строне клиента. На нём было 2 IP и почему-то он пробовал подкючаться к серверу со второго.   Все IP-адреса, регистрируются на DNS-серверах при назначении IP-адресов для одного сетевого адаптера на компьютере под управлением Windows Server 2008 с пакетом обновления 2 или Windows Vista с пакетом обновления 2   Windows 2008 R2 Код:   netsh int ipv4 show ipaddresses level=verbose :: netsh int ipv4 delete address "Local Area Connection" addr=192.168.0.2 :: netsh int ipv4 add address "Local Area Connection" 192.168.0.2 skipassource=true :: netsh int ipv4 show ipaddresses level=verbose   Всего записей: 4893 | Зарегистр. 10-11-2004 | Отправлено: 19:27 14-02-2012 | Исправлено: slech, 19:56 14-02-2012

redson Advanced Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору подключил нового агента к серверу, через не которое время агент в админке становится как Inactive, а в логах агента следующее сообщение:   ossec-logcollector(2301): ERROR: Definition not found for: 'logcollector.remote_commands'.   нужна помощь Всего записей: 1349 | Зарегистр. 23-04-2007 | Отправлено: 16:45 24-07-2013

slech Silver Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору redson OSSEC error 'remote_commands'... Всего записей: 4893 | Зарегистр. 10-11-2004 | Отправлено: 17:36 24-07-2013

redson Advanced Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору slech Цитата:   OSSEC error 'remote_commands'...     прочитал, но так и не понял, может обьясните? Всего записей: 1349 | Зарегистр. 23-04-2007 | Отправлено: 11:37 25-07-2013

slech Silver Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору redson похоже автор пишет о файле internal_options.conf По логике это не должно мешать агенту подключаться к серверу, а только указывает - выполнять или нет определённые действия указанные на сервере.   Вот тут говорят так же, что это вроде не должно влиять и советуют перепроверить IP и порт на агенте. Пишут что на 2.6 всё работает, а вот на 2.7 нет. И что проблема на Windows агентах. Всего записей: 4893 | Зарегистр. 10-11-2004 | Отправлено: 12:39 25-07-2013 | Исправлено: slech, 12:49 25-07-2013

redson Advanced Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору slech   у меня агенты установлены на debian 7, а серверная часть тоже на debian. Ставил сразу версию 2.7. Агенты соединяются с сервером и где то через 1 час примерно, не доступны. В админке они как - Inactive. В консоли сервера OSSEC проверяю агента:   /var/ossec/bin/agent_control -i 001   OSSEC HIDS agent_control. Agent information:    Agent ID:   001    Agent Name:  srv01    IP address: 192.168.202.4    Status:     Disconnected Всего записей: 1349 | Зарегистр. 23-04-2007 | Отправлено: 14:37 25-07-2013 | Исправлено: redson, 14:38 25-07-2013

slech Silver Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору а после рестарта агента он доступен на сервере ? Всего записей: 4893 | Зарегистр. 10-11-2004 | Отправлено: 14:40 25-07-2013

redson Advanced Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору да, после рестарта он доступен и через некоторое время около 1 часа, он обратно неюоступен   Добавлено: вот лог рестарта:   root@srv01:/var/ossec/bin/ossec-control restart   ossec-logcollector not running .. ossec-syscheckd not running .. Killing ossec-agentd .. Killing ossec-execd .. OSSEC HIDS v2.7 Stopped Starting OSSEC HIDS v2.7 (by Trend Micro Inc.)... Started ossec-execd... Started ossec-agentd... 2013/07/25 14:43:31 ossec-logcollector(2301): ERROR: Definition not found for: 'logcollector.remote_commands'. Всего записей: 1349 | Зарегистр. 23-04-2007 | Отправлено: 14:42 25-07-2013 | Исправлено: redson, 14:44 25-07-2013

redson Advanced Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Решил данную проблему. Добавил в файл /var/ossec/etc/internal_options.conf, следующий параметр:   # Logcollector - If it should accept remote commands from the manager logcollector.remote_commands=0   его почему то не было в конфиге. Может кому то поможет) Всего записей: 1349 | Зарегистр. 23-04-2007 | Отправлено: 14:02 15-08-2013

slech Silver Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору redson Код:  logcollector.remote_commands=0       Allow the agents to run commands defined in agent.conf.       Allowed: 0,1       Default: 0 Хорошо, что помогло, но странно оно как-то - вроде умолчательно значение и есть 0. Всего записей: 4893 | Зарегистр. 10-11-2004 | Отправлено: 19:02 15-08-2013

redson Advanced Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору slech Цитата: Хорошо, что помогло, но странно оно как-то - вроде умолчательно значение и есть 0.   дело в том, что на контролируемые сервера я ставил скомпилироанный под ubuntu deb пакет, брал отсюда launchpad.net. А там файл internal_options.conf, был почему то от версии 2.6, где как раз нет строчки logcollector.remote_commands=0.   Добавлено: slech   вопрос:   №1 - можно как нибудь в ossec отключить все функции кроме, проверки хеша файлов. Мне как раз нужно мониторинг только изменения контрольных сумм файлов. Остальные сообщение от встроенной IDS, засоряют экран.   №2 - есть возможность интеграции с системой zabbix ? Всего записей: 1349 | Зарегистр. 23-04-2007 | Отправлено: 13:55 20-08-2013 | Исправлено: redson, 19:21 20-08-2013

slech Silver Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору redson Уже давно отошёл от этого приложения и к сожалению не подскажу точно, что и где подправить.   1. Точно возможно - нужно смотреть как. Я использовал централизованное управление с конфига на сервере. 2. Смотрите Syscheck 3. Я вроде тоже задачался этим вопросом, но так и не решил его. Вот, что есть в сети: http://blog.zzservers.com/2010/04/zabbix-ossec-open-source-compliance-and-security-monitoring/ Всего записей: 4893 | Зарегистр. 10-11-2004 | Отправлено: 20:10 20-08-2013

redson Advanced Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору а какое приложение используете, сейчас? Всего записей: 1349 | Зарегистр. 23-04-2007 | Отправлено: 08:22 21-08-2013

redson Advanced Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору отключаем все функции кроме, проверки хеша файлов. Может кому поможет. Вот мое решение:   будет работать только Syscheck (проверка хеша файлов):     правим файл /var/ossec/etc/ossec.conf   находим блок rules:   закоментировать все правила кроме rules_config.xml и ossec_rules.xml, вот таким вот символом <!-- include>навзвание_правила.xml</include> -->   пример:    <rules>     <include>rules_config.xml</include>     .......         <!-- include>solaris_bsm_rules.xml</include> -->     <!-- include>vmware_rules.xml</include> -->     <!-- include>ms_dhcp_rules.xml</include> -->     <!-- include>asterisk_rules.xml</include> -->     .......     <include>ossec_rules.xml</include>    </rules> Всего записей: 1349 | Зарегистр. 23-04-2007 | Отправлено: 08:40 10-12-2013 | Исправлено: redson, 08:47 10-12-2013

Компьютерный форум Ru.Board » Компьютеры » В помощь системному администратору » OSSEC HIDS - Host Intrusion Detection System

Переход по форумам  Закладки   » Компьютеры Цифровое изображение Программы Microsoft Windows UNIX Другие OS Hardware В помощь сисадмину Прикладное программирование Игры Форумные игры   » Интернет Web-программирование В помощь вебмастеру Графика Хостинг Зацените-ка!   » Тематические Ikonboard v.2 Ikonboard v.3 Invision Board Другие форумы PHP-Nuke и другие порталы Мобила   » Общие Спорт Флейм Темы по региональным встречам Музыка и Кино Юмор Литература и Живопись   » Ru.Board Новости Помощь по форуму   » Андеграунд eBookz Варезник Раздачи и акции Мобильный варезник Андеграунд Игры и фильмы   » Специальные Тестирование