OSSEC - remoted [vyřešeno]

[On]

Zdravím,

možná to není uplně na toto forum, ale najde se někdo, kdo hoví softwaru OSSEC? Běží mi na Ubuntu 12.04 LTS, lokálně se zdá, že to nějak funguje, i s přehledným webovým rozhraním, ale nedaří se mi propojit vzdálené stroje..návodů pár je, na http://ossec.net je i slušná dokumentace, ale prostě ne a ne...zkoušel jsem přidat sekci "remote" do conf souboru ossec.conf dle dokumentace:

  <remote>
    <connection>secure</connection>
    <allowed-ips>192.168.2.0/24</allowed-ips>
    <local_ip>192.168.2.57</local_ip>
    <port>1514</port>
  </remote>

....uplně poprvé to nějak "zafungovalo", alespoň v tom smyslu, že "/etc/init.d/ossec status" řekl:

ossec-monitord is running...
ossec-logcollector is running...
ossec-remoted is running...
ossec-syscheckd is running...
ossec-analysisd is running...
ossec-maild not running...
ossec-execd is running...
ossec-agentlessd is running...

..jenže nevím co se událo, že teď to prostě nejde:

ossec-monitord is running...
ossec-logcollector is running...
ossec-remoted not running...
ossec-syscheckd is running...
ossec-analysisd is running...
ossec-maild not running...
ossec-execd is running...
ossec-agentlessd is running...

Vždy po restartu služby "ossec" mi to do logu hodí jen:

2012/09/03 09:53:31 ossec-remoted: INFO: Started (pid: 5891).
2012/09/03 09:53:31 ossec-remoted: Remote syslog allowed from: '192.168.2.0/24'

...což nevypadá sice errorově, nicméně na portu 1514 nic nenaslouchá (viz netstat) a výpis služeb přes "ps" na PID 5891 mlčí

tcpdump na serveru říká:

root@domatestx64:~# tcpdump -i eth0 dst port 1514 -vv

09:33:25.612634 IP (tos 0x0, ttl 64, id 41063, offset 0, flags [DF], proto UDP (17), length 101)
    domatest.43732 > domatestx64.1514: UDP, length 73
09:33:31.613822 IP (tos 0x0, ttl 64, id 41064, offset 0, flags [DF], proto UDP (17), length 101)
    domatest.43732 > domatestx64.1514: UDP, length 73
09:33:41.616240 IP (tos 0x0, ttl 64, id 41065, offset 0, flags [DF], proto UDP (17), length 101)
.....
.....

......čili na serveru zkouším poslouchat na portu 1514...k pokusu o navázání tedy pravděpodobně dojde, ale žádný log mi neřekne, na čem to končí..
V konfiguráku internal_options.conf jde povolit:

# Remoted (server debug)
remoted.debug=1

..jenže rozšířené logování v ossec.log nevidím a nový soubor s tímto debugem se také nevytvořil, takže nevím, kde tento debug hledat. Možná by pomohl reinstall služby, abych začal zase od znova (pač poprvé se to nějak rozeběhlo...alespoň psalo, že služba "is running..."). Logy z klientského stroje jsem sice na serveru i tak neviděl, ale dostat se do tohoto stavu znovu by mě posunulo dál...

za jakýkoliv nápad díky..

[Armus69]

U remote mam jen
  <remote>
    <connection>syslog</connection>
    <allowed-ips>xxx.xxx.xxx.xxx/21</allowed-ips>
  </remote>

  <remote>
    <connection>secure</connection>
  </remote>

 kde sbírám data z veřejného poolu adres, pak mi remoted naslouchá na všech interfacech

[On]

No, ono by to nemělo vadit...nicméně jsem to udělal i podle tebe, ale pořád "not running" :/ Ale pracuju na tom..

[Armus69]

Evidentně chyba v konfiguraci,
-
udp        0      0 0.0.0.0:1514            0.0.0.0:* 

 ten daemon naslouchat musí. backup  a reinstall čistý konfigurace a udělat si diff. Jinak pro klienty se musí vygenerovat klíč na serveru a importnout ho do konfigurace klienta,aby mohly zasílat logy ale to asi víš.

[On]

jj, klíče mám...mně prostě přijde, že mám všechno v pořádku nefungovalo mi ještě ssh_integrity_check, teď mi už log říká:

2012/09/06 09:51:29 ossec-agentlessd: INFO: ssh_integrity_check_linux: user@xxx.xxx.xxx.xxx: Started.
2012/09/06 09:51:30 ossec-agentlessd: INFO: ssh_integrity_check_linux: user@xxx.xxx.xxx.xxx: Starting.
2012/09/06 09:54:17 ossec-agentlessd: INFO: ssh_integrity_check_linux: user@xxx.xxx.xxx.xxx: Finished.
2012/09/06 09:54:23 ossec-agentlessd: INFO: ssh_generic_diff: user@xxx.xxx.xxx.xxx: Started.
2012/09/06 09:54:23 ossec-agentlessd: INFO: ssh_generic_diff: user@xxx.xxx.xxx.xxx: Starting.
2012/09/06 09:54:23 ossec-agentlessd: INFO: ssh_generic_diff: user@xxx.xxx.xxx.xxx: Finished.

Stačilo jen vygenerovat ssh klíče. Krásně to s klientem komunikuje. Problém je prostě s tím, že na serveru se nedaří rozjet ten port 1514..dokumentace také říká, že pokud bude <connection>syslog</connection>, bude port 514, pokud secure, pak 1514. Ale klient se snaží dobít vždy jen na 1514. Dle tcpdumpu i logu...

Ale tak to už by byla až další fáze...nedaří se mi prostě zprovoznit tohle:

udp        0      0 0.0.0.0:1514            0.0.0.0:*

Celý výpis po restartu (/etc/init.d/ossec start) je tento:

Kód: [Vybrat]

Starting OSSEC HIDS v2.6 (by Trend Micro Inc.)...
OSSEC analysisd: Testing rules failed. Configuration error. Exiting.
Started ossec-agentlessd...
2012/09/06 11:34:20 ossec-maild: INFO: E-Mail notification disabled. Clean Exit.
Started ossec-maild...
Started ossec-execd...
Started ossec-analysisd...
Started ossec-logcollector...
Started ossec-remoted...
Started ossec-syscheckd...
Started ossec-monitord...
Completed.

Ale to mi dělalo od prvopočátku...myslím tu chybu s pravidly. To taky nevím, co se mu nelíbí..

[Armus69]

OSSEC analysisd: Testing rules failed. Configuration error. Exiting.

   jop.

   a v původní konfiguraci to naběhne ? Bez úpravy těch rules?

[On]

No já právě nedělal žádnou úpravu...jak říkám, od prvopočátku bez jakýchkoliv změn, když jsem udělal /etc/init.d/ossec restart, tak to tuhle chybu vyhodilo..

dobrý nápad je udělat zálohu, uninstall > install ...jdu na to.

[On]

Takže ...po čisté instalaci jsem tam přidal přesně ty dvě sekce <remote>, co jsi mi posílal a :

Kód: [Vybrat]

root@domatestx64:/var/ossec/etc# /etc/init.d/ossec start
Starting OSSEC HIDS v2.6 (by Trend Micro Inc.)...
OSSEC analysisd: Testing rules failed. Configuration error. Exiting.
Started ossec-maild...
Started ossec-execd...
Started ossec-analysisd...
Started ossec-logcollector...
Started ossec-remoted...
Started ossec-syscheckd...
Started ossec-monitord...
Completed.
root@domatestx64:/var/ossec/etc# /etc/init.d/ossec status
ossec-monitord is running...
ossec-logcollector is running...
ossec-remoted is running...
ossec-syscheckd is running...
ossec-analysisd is running...
ossec-maild is running...
ossec-execd is running...
To je krása Ale jak vidno, ta chyba s pravidly je tam pořád...ale byla tam i předtím...no nic, jdu zkusit, jestli to dělá to, co má

Každopádně ale poslouchá na:

udp        0      0 0.0.0.0:514             0.0.0.0:*                           4827/ossec-remoted

...což nevím, proč neposlouchá na 1514 jako tobě

[Armus69]

s mou konf
udp        0      0 0.0.0.0:1514            0.0.0.0:*                           7650/ossec-remoted
udp        0      0 0.0.0.0:514             0.0.0.0:*                           7649/ossec-remoted

 nevidím nic jiného v konfiguraci než tohle jak jsem poslal dříve
  <remote>
    <connection>syslog</connection>
    <allowed-ips>109.233.72.0/24</allowed-ips>
  </remote>

  <remote>
    <connection>secure</connection>
  </remote>

[On]

jo jo...už poslochám na obou...byl jsem moc rychlý. Poslal jsem výpis opravdu hned po instalaci. Jakmile jsem vytvořil ty klíče, už poslochám na obou portech...jupí

Tak teď bych ještě potřeboval, jestli víš, jak donutit klienta, aby mi logy posílal na server. Connect už by měl být ok. Musí se to teda ještě někde definovat? Nebo to už dělá automaticky? Pač /var/ossec/logs, tady vidím jen logy lokální..

[Armus69]

nainstalovat na klienta
v konfigu

<ossec_config>
  <client>
    <server-ip>109.233.72.85</server-ip>
  </client>
...
...

a importnout klientskej klíč ze serveru

[On]

to mám..takže tohle by mělo stačit? A kde ty logy z klienta uvidím? Na klientském stroji samozřejmě ano, ale chtěl bych všechny logy z klientů házet na "auditní server"...aspoň mám za to, že se všechny logy z klientů budou posílat na tento jeden server..To je vlastně cílem mého snažení

[Armus69]

vše je popsáno dobře tady
http://www.ossec.net/doc/manual/agent/agent-management.html

pokud je to dobře nakonfigurováno, tak na www ossecu  už uvidíš logy z klienta

[On]

Supr, díky ti moc, beru jako vyřešeno...

+K

EDIT: A jen tedy potvrzuji, že je tomu opravdu tak..na www vidím nového agenta.