Ossec agent auto multi installation

2012-09-06

2 minute read

Security

Ossec är det övervakninsg system som jag använder mest.
En sak som dock ställer till det lite att man hela tiden måste para ihop agneten med server.
Det fungerar kalas om man bara har några få servrar. Men har man en massa blir det lite mekigare.
Men nu så kan man scripta upp så man kan installera agenter automatist.

Börja med att skapa nycklarna på ossec server
Det första vi ska göra är att skapa upp nycklarna på ossec server.
Här kan man använda en ny funktion i ossec som heter bash.
Jag visar nu bara hur man gör så kan du sen själv scripta upp så den skapar upp nycklar till alla dina servrar

Batchmanager finns i packfilen som du laddar hem från ossec.
Så den finns INTE i ossec som är installerad på server.
Kolla i ossec installations katalogen och under “contrib”

Centos 6
Installera följande paket för att bath ska fungera

yum install perl-Time-HiRes

Och för att kunna bygga ossec måste gcc och make finnas.

yum install gcc make

Skapa nyckeln

./ossec-batch-manager.pl -a -n clinet.fareonline.net -p 192.168.122.158

Nu kan du kolla i filen /var/ossec/clinet.keys där ska nu den nya nyckeln finnas

grep clinet.fareonline.net /var/ossec/etc/client.keys

Sätta upp agent configurationen
Nu ska vi konfa vilka installningar ageneten ska ha när den installeras.
I ossec installations katalogen leta fram filen preload-vars.conf och öppna den.

Ställ där in de saker som du vill att din klinet ska göra.
Tex installera med engelska och ossec server ip.
Samnt vilka säkerhets tjänster du vill aktivera.
Glöm inte att även ställa in att den inte ska visa några frågor vid installationen.

Ta sedan och kopiera över hela din ossec installations katalog till klineten.
Jag kommer att lägga in den i min git.
Sedan så kan jag enkelt scripta att så den uppdaterar min git och kör igång installtionen.
Men det fungerar även kalas att dra över den med tex scp.
Du kan sedan scripta in det som passar bäst.

med scp till min klinet

scp -r ossec-hids-2.6/ root@192.168.122.158:/opt

Sedan är det daxs att köra igång installationen på clienten med /install.sh
Om nu allt går bra ska du inte få några frågor utan instalaltionen ska bara rull igenom.

Nu ska vi kopiera över nycklarna som vi har på ossec server.
Följande kommando tar ut rätt nyckeln och lägge den i en fil.

grep clinet.fareonline.net /var/ossec/etc/client.keys > /tmp/clinet.fareonline.net

Sedan kopierar vi över den till ossec klienten

scp /tmp/clinet.fareonline.net root@192.168.122.158:/var/ossec/etc/client.keys

Sedan måste vi sätta rätt rättigheter på clinet.keys filen

chown root:ossec /var/ossec/etc/client.keys

Nu ska det bara vara att starta om ossec server och agneten och det ska fungera.

Jag har dock haft lite problem med att iblen få agneten att ansluta till server och för att felsöka brukar jag köra.

på server för att få info om agneten skcikar rätt och om ossec-remoted fungerar

ps aux | grep ossec-remote
netstat -anp | grep 1514
tcpdump port 1514
./ossec-remotd -f

Sedan brukar jag starta om klienten och se vad som händer.

The post is brought to you by lekhonee v0.7