В этом руководстве мы узнаем, как установить агент OSSEC в Mac OS X.
Как установить агент OSSEC на Mac OS X
Как обычно, мы собираемся установить агент OSSEC на Mac OS X из исходного кода.
В результате убедитесь, что у вас установлен компилятор C (gcc).
Чтобы убедиться, что коллекция GNU Compiler установлена, выполните команду ниже;
which gcc /usr/bin/gcc
Затем загрузите агент OSSEC для Unix со страницы загрузок.
wget https://github.com/ossec/ossec-hids/archive/3.1.0.tar.gz
После завершения загрузки распакуйте архив.
tar xzf 3.1.0.tar.gz
Перейдите в извлеченный каталог и запустите сценарий установки OSSEC.
cd ossec-hids-3.1.0/ ./install.sh
Когда скрипт установки запустится, вам будет предложено выбрать язык установки.
... (en/br/cn/de/el/es/fr/hu/it/jp/nl/pl/ru/sr/tr) [en]: ru
Нажмите Enter еще раз, чтобы продолжить установку. Выберите агент в качестве типа установки.
Далее необходимо ответить на вопросы системы и завершить установку.
После завершения установки добавьте агент на сервер, чтобы они могли обмениваться данными.
/var/ossec/bin/manage_agents
После этого извлеките ключ агента-сервера и импортируйте.
Запустите команду ниже, чтобы установить ключ на агенте.
**************************************** * OSSEC HIDS v3.1.0 Agent manager. * * The following options are available: * **************************************** (I)mport key from the server (I). (Q)uit. Choose your action: I or Q: I * Provide the Key generated by the server. * The best approach is to cut and paste it. *** OBS: Do not include spaces or new lines. Paste it here (or '\q' to quit): OTYgbHVhbmRtaSAxOTIuMTY4LjM1LjEwOCA2NzA4N2ZmNjhiZDhjZGQ3NjgwMjlhODA0ZmNjMzQyOTUyODE0YTM1NTdhNjRkOWIxNGFhNDljYTJhOTJhNzhh
Если все хорошо, вы сможете увидеть детали агента на сервере.
Agent information: ID:96 Name:amosmibey IP Address:192.168.43.108
Введите y и нажмите Enter, чтобы подтвердить добавление ключа.
Confirm adding it?(y/n): y Added. ** Press ENTER to return to the main menu. **************************************** * OSSEC HIDS v3.1.0 Agent manager. * * The following options are available: * **************************************** (I)mport key from the server (I). (Q)uit. Choose your action: I or Q: q ** You must restart OSSEC for your changes to take effect. manage_agents: Exiting.
Затем запустите службу агента OSSEC.
/var/ossec/bin/ossec-control start
Starting OSSEC HIDS v3.1.0 (by Trend Micro Inc.)... Started ossec-execd... 2019/01/22 11:26:06 ossec-agentd: INFO: Using notify time: 600 and max time to reconnect: 1800 Started ossec-agentd... Started ossec-logcollector... Started ossec-syscheckd... Completed.
Чтобы убедиться, что агент запущен и подключен к серверу, подключите журналы агента OSSEC. Вы должны увидеть строку, в которой указано, что агент подключен к серверу.
tail /var/ossec/logs/ossec.log | grep -i connected
2019/01/23 17:06:58 INFO: Connected to 192.168.43.22 at address 192.168.43.22, port 1514 2019/01/23 17:23:54 INFO: Connected to 192.168.43.22 at address 192.168.43.22, p
Это все. Теперь, чтобы убедиться, что служба работает в случае перезагрузки системы, создайте службу запуска, как показано ниже;
vim /Library/LaunchDaemons/autostartossec.plist
<?xml version="1.0" encoding="UTF-8"?> <!DOCTYPE plist PUBLIC "-//Apple//DTD PLIST 1.0//EN" "http://www.apple.com/DTDs/PropertyList-1.0.dtd"> <plist version="1.0"> <dict> <key>Label</key> <string>autostartossec</string> <key>ProgramArguments</key> <array> <string>/Users/amos/myscripts/autostartossec.sh</string> </array> <key>RunAtLoad</key> <true/> <key>StandardErrorPath</key> <string>/tmp/AlTest1.err</string> <key>StandardOutPath</key> <string>/tmp/AlTest1.out</string> </dict> </plist>
Демон запуска создан. Затем создайте скрипт запуска службы.
vim /Users/amos/myscripts/autostartossec.sh
#!/bin/sh /var/ossec/bin/ossec-control start
Сделайте скрипт исполняемым.
chmod u+x /Users/amos/myscripts/autostartossec.sh
Чтобы проверить, работает ли это, перезагрузите систему и проверьте состояние агента OSSEC.
/var/ossec/bin/ossec-control status
ossec-logcollector is running... ossec-syscheckd is running... ossec-agentd is running... ossec-execd not running...
Служба должна теперь работать.
Теперь вы узнали, как установить агент OSSEC в Mac OS X. Спасибо за чтение.
