OSSECドキュメント-エージェントレスモニタリング
Ossec Document Agentless Monitoring
翻訳:http://ossec-docs.readthedocs.io/en/latest/manual/agent/agentless-monitoring.html
エージェントレスモニタリング
エージェントレス監視を使用すると、エージェントをインストールせずに、システム(ルーター、ファイアウォール、スイッチ、さらにはlinux / bsdシステムを含む)で整合性チェックを実行できます。ファイルの整合性チェック(チェックサム変更の警告)または比較を実行して、発生した変更を表示できます。
エージェント構成アイテムなし
エージェントレス
これは、エージェントレス構成を含む部分です。
周波数
これにより、各実行間の秒数が制御されます。
ホスト
これは、ユーザー名とエージェントレスホストを定義します。
例えば:root @ xxxxx
状態
これにより、これらのチェックが定期的(定期的)な定期的な差異であることがわかります
定期的:スクリプトの出力はOSSECプロセスによって処理されます
period_diff:スクリプトの出力は、前の実行の出力と比較されます。
引数
これにより、スクリプトに渡されるパラメーターが定義されます。
エージェントレスの使用を開始
OSSECをインストールした後、エージェントレス監視を有効にする必要があります。
# /var/ossec/bin/ossec-control enable agentless
また、アクセスするホストにSSH認証を提供します。 Ciscoデバイス(PIX、ルーターなど)の場合、イネーブルパスワードに追加のパラメータを指定する必要があります。 'su'のサポートを追加する場合は、追加のパラメーターでもある必要があります。この例では、Linuxボックス(example.net)とPIXファイアウォール(pix.fw.local)が追加されています。 # /var/ossec/agentless/register_host.sh add root@xxxxx mypass1 *Host root@xxxxx added. # /var/ossec/agentless/register_host.sh add root@xxxxx pixpass enablepass *Host root@xxxxx added. # /var/ossec/agentless/register_host.sh list *Available hosts: root@xxxxx root@xxxxx
register_host.shはシェルスクリプトです。シェルによる解釈を避けるために、特殊文字をエスケープする必要がある場合があります。 パスワードの代わりに公開鍵認証を使用する場合は、パスワードとしてそれを提供し、公開鍵を作成する必要があります。
# sudo -u ossec ssh-keygen
/var/ossec/.sshに公開鍵を作成します。その後は、公開鍵をリモートに送信するだけで、秘密なしで実行できます。 エージェントレスを構成する
すべてのシステムを追加したら、それらを監視するようにOSSECを構成する必要があります。デフォルトでは、4つの非エージェントタイプがあります(ただし、すぐに追加する予定です)。
ssh_integrity_check_bsd
ssh_integrity_check_linux
ssh_generic_diff
ssh_pixconfig_diff
最初の2つについては、構成内のディレクトリのリストを提供し、OSSECはそれらのディレクトリに対してリモートで整合性チェックを実行します。 ssh_generic_diffで、リモートコンソールで実行する一連のコマンドを提供します。これらのコマンドの出力が変更されると、OSSECはアラートを発行します。 ssh_pixconfig_diffは、Cisco PIX /ルータの設定が変更されたときにアラートを出します。
したがって、最初のシステム(root @ xxxxx)では、/ bin、/ etc、および/ sbinディレクトリを10時間ごとに監視します(ssh整合性tycheckbsdを使用する場合、このパラメーターはディレクトリにもなります):
ssh_integrity_check_linux 36000 root@xxxxx periodic /bin /etc/ /sbin
PIXの場合、構成は次のとおりです。 ssh_pixconfig_diff 36000 root@xxxxx periodic_diff
ssh_generic_diffを説明するために、root @xxxxxでls-la / etc cat / etc / passwdも監視します。ネットワークファイアウォールまたはスイッチを監視する場合は、ssh_generic_diffを使用して、パラメーターオプションでのみコマンドを指定できることに注意してください。 'su'を使用するには、ホスト名の前に値 'usage'を設定する必要があります(例:use_su root @ xxxxx)。 ssh_generic_diff 36000 root@xxxxx periodic_diff ls -la /etc cat /etc/passwd
完全な設定を実行する 構成が完了したら、OSSECを再起動できます。出力に「Startedossec-agentlessd」のようなものが表示されるはずです。各エージェントレス接続が開始する前に、OSSECは構成チェックを実行して、すべてが正常であることを確認します。 / var / ossec / logs / ossecを見てください。エラーログの場合。あなたが見るならば:
2008/12/12 15:20:06 ossec-agentlessd: ERROR: Expect command not found (or bad arguments) for 'ssh_integrity_check_bsd'. 2008/12/12 15:20:06 ossec-agentlessd: ERROR: Test failed for 'ssh_integrity_check_bsd' (127). Ignoring.'
これは、サーバーに必要なライブラリをインストールしていないことを意味します(監視するためにエージェントレスシステムに何もインストールする必要はありません)。 Ubuntuでは、次のインストールを実行できます。 # apt-get install expect
必要なライブラリをインストールした後、OSSECを再起動すると、次のように表示されます。
2008/12/12 15:24:12 ossec-agentlessd: INFO: Test passed for 'ssh_integrity_check_bsd'.'
リモートシステムに接続すると、次のようにも表示されます。
2008/12/12 15:25:19 ossec-agentlessd: INFO: ssh_integrity_check_bsd: root@xxxxx: Starting. 2008/12/12 15:25:46 ossec-agentlessd: INFO: ssh_integrity_check_bsd: root@xxxxx: Finished.
警報 ここにあなたが得るいくつかのリマインダーがあります:
ssh_generic_diffの場合
OSSEC HIDS Notification. 2008 Dec 12 01:58:30 Received From: (ssh_generic_diff) root@xxxxx>agentless Rule: 555 fired (level 7) -> 'Integrity checksum for agentless device changed.' Portion of the log(s): ossec: agentless: Change detected: 35c35 -rw-r-r- 1 root wheel 34 Dec 11 18:23 hosts.deny -END OF NOTIFICATION
PIXの場合
OSSEC HIDS Notification. 2008 Dec 01 15:48:03 Received From: (ssh_pixconfig_diff) root@xxxxx>agentless Rule: 555 fired (level 7) -> 'Integrity checksum for agentless device changed.' Portion of the log(s): ossec: agentless: Change detected: 48c48 no fixup protocol ftp 21 100c100 ssh timeout 50 More changes.. -END OF NOTIFICATION