あるサーバーにOssecをインストールし、Redhatで実行されている別のサーバーにエージェントをインストールしました。問題は、セキュリティキーをインポートしたにもかかわらず、一部のサーバーはサーバーと通信してログを送信できるが、他のサーバーはINACTIVE状態であることです。
2013/02/23 15:34:34 ossec-agentd(4101): WARN: Waiting for server reply (not started). Tried: '192.168.109.1'.
2013/02/23 15:38:30 ossec-agentd: INFO: Trying to connect to server (192.168.109.1:1514).
2013/02/23 15:38:30 ossec-agentd: INFO: Using IPv4 for: 192.168.109.1 .
2013/02/23 15:38:51 ossec-agentd(4101): WARN: Waiting for server reply (not started). Tried: '192.168.109.1'.
2013/02/23 15:43:05 ossec-agentd: INFO: Trying to connect to server (192.168.109.1:1514).
2013/02/23 15:43:05 ossec-agentd: INFO: Using IPv4 for: 192.168.109.1 .
2013/02/23 15:43:26 ossec-agentd(4101): WARN: Waiting for server reply (not started). Tried: '192.168.109.1'.
2013/02/23 15:47:58 ossec-agentd: INFO: Trying to connect to server (192.168.109.1:1514).
2013/02/23 15:47:58 ossec-agentd: INFO: Using IPv4 for: 192.168.109.1 .
2013/02/23 15:48:19 ossec-agentd(4101): WARN: Waiting for server reply (not started). Tried: '192.168.109.1'.
2013/02/23 15:53:09 ossec-agentd: INFO: Trying to connect to server (192.168.109.1:1514).
2013/02/23 15:53:09 ossec-agentd: INFO: Using IPv4 for: 192.168.109.1 .
2013/02/23 15:53:30 ossec-agentd(4101): WARN: Waiting for server reply (not started). Tried: '192.168.109.1'.
2013/02/23 15:58:38 ossec-agentd: INFO: Trying to connect to server (192.168.109.1:1514).
2013/02/23 15:58:38 ossec-agentd: INFO: Using IPv4 for: 192.168.109.1 .
2013/02/23 15:58:59 ossec-agentd(4101): WARN: Waiting for server reply (not started). Tried: '192.168.109.1'
セキュリティチームに確認してみると、ホストとプロキシの間にファイアウォールがあると言いました。サーバーでポート514 UDPを有効にしました。ただし、エージェントはまだサーバーと通信できません。
ネットワーク統計出力
[emerg@Monit ~]$ netstat -panu
(No info could be read for "-p": geteuid()=1344 but you should be root.)
Active Internet connections (servers and established)
Proto Recv-Q Send-Q Local Address Foreign Address State PID/Program name
udp 0 0 0.0.0.0:32769 0.0.0.0:* -
udp 0 0 0.0.0.0:514 0.0.0.0:* -
udp 0 0 0.0.0.0:10000 0.0.0.0:* -
udp 0 0 0.0.0.0:657 0.0.0.0:* -
udp 0 0 0.0.0.0:660 0.0.0.0:* -
udp 0 0 0.0.0.0:5353 0.0.0.0:* -
udp 0 0 0.0.0.0:1514 0.0.0.0:* -
udp 0 0 0.0.0.0:111 0.0.0.0:* -
udp 0 0 0.0.0.0:631 0.0.0.0:* -
udp 0 0 10.1.1.109:123 0.0.0.0:* -
udp 0 0 192.168.109.1:123 0.0.0.0:* -
udp 0 0 127.0.0.1:123 0.0.0.0:* -
udp 0 0 0.0.0.0:123 0.0.0.0:* -
udp 0 0 :::32771 :::* -
udp 0 0 :::5353 :::* -
udp 0 0 fe80::21e:c9ff:fee0:123 :::* -
udp 0 0 fe80::21e:c9ff:fee0:123 :::* -
udp 0 0 ::1:123 :::* -
udp 0 0 :::123 :::*
Ossec HIDSサーバーのOssec.confの内容
<ossec_config>
<global>
<email_notification>yes</email_notification>
<email_to>[email protected]</email_to>
<smtp_server>10.171.1.10</smtp_server>
<email_from>[email protected]</email_from>
</global>
<rules>
<include>rules_config.xml</include>
<include>pam_rules.xml</include>
<include>sshd_rules.xml</include>
<include>telnetd_rules.xml</include>
<include>syslog_rules.xml</include>
<include>arpwatch_rules.xml</include>
<include>symantec-av_rules.xml</include>
<include>symantec-ws_rules.xml</include>
<include>pix_rules.xml</include>
<include>named_rules.xml</include>
<include>smbd_rules.xml</include>
<include>vsftpd_rules.xml</include>
<include>pure-ftpd_rules.xml</include>
<include>proftpd_rules.xml</include>
<include>ms_ftpd_rules.xml</include>
<include>ftpd_rules.xml</include>
<include>hordeimp_rules.xml</include>
<include>roundcube_rules.xml</include>
<include>wordpress_rules.xml</include>
<include>vpopmail_rules.xml</include>
<include>vmpop3d_rules.xml</include>
<include>courier_rules.xml</include>
<include>web_rules.xml</include>
<include>apache_rules.xml</include>
"ossec.conf" 162L, 5585C
ファイアウォールルール
13M 3734M ACCEPT udp -- * * 0.0.0.0/0 192.168.9.1 multiport dports 123,514
答え1
ファイアウォールが両方をブロックしていると仮定すると、コマンドラインから接続をテストできます。
netcat -u servername 1514
いくつかのテキストを入力すると、OSSECサーバー側で次のログメッセージを見つけることができます。
less /var/ossec/logs/ossec.log
2014/02/14 17:54:07 ossec-remoted(1403): ERROR: Incorrectly formated message from 'nn.nn.nn.nnn'.
ご覧のとおり、私は通信にOSSECデフォルトポート1514を使用しています。それでは、ポート514を使用していますか?
OSSEC接続をデバッグする方法に関するステップバイステップの手順については、私のブログをご覧ください。OSSEC接続をデバッグする方法。
答え2
こことOSSEC接続に関連する他のサイトで質問を見ましたが、適切な答えはありません。
サーバーログを確認しましたが、「wxyzからのメッセージは許可されていません」と表示されていますか?これは、IPアドレスが一致しないことを示します。プロキシのメッセージが通過しています。つまり、ファイアウォールやNATの問題はありませんが、サーバーはメッセージを受け入れません。
単一のIPアドレスを使用してエージェントのサブネットを指定すると、IPアドレスの不一致があるようです。この問題は発生しません。エージェントexeファイルを作成するときにホストがDHCPを使用するため、アドレスを10.1.20.0/24に指定するとします。サーバーのossec.confファイルにタグを追加する必要があります<allowed-ips>。
<remote>
<connection>secure</connection>
<allowed-ips>10.1.20.0/24</allowed-ips>
</remote>
このラベルはデフォルトでは生成されないため、追加すると問題が解決する可能性があります。次のコマンドを使用してOSSECサービスを再起動する必要があります。
/var/ossec/bin/ossec-control restart
答え3
影響を受けたホストのライダーディレクトリに移動して、ホストIDを削除します。たとえば、エージェント/クライアントIDが17の場合:
rm -rf /var/ossec/queue/rids/17
その後、クライアントを再起動します。
service ossec-hids restart
これで、サーバーの状態を確認するとアクティブになります。