Saludos a todos.
Luego de haber tenido felizmente instalado meses el OSSEC en mi sistema,
monitoreando desde mi estación de trabajo (que oficiaba de servidor
centralizado OSSEC)la máquina del correo, cortafuegos, etc., he debido
reinstalar la estación de trabajo. Ello trajo como consecuencia que debí
reinstalar el OSSEC, y lo que había logrado debo reconstruirlo... y
ahora viene el rollo.
Ya instalé el servidor OSSEC en mi estación de trabajo, como antes. El
cliente está instalado igual en la máquina correspondiente. pero el
problema es que el servidor OSSEC me reconozca al cliente... y lo mejor
de todo es que tengo delante toda la documentación, y sigo trabado.
recuerdo que instalarlo, con documentación y todo, fue un parto... algo
en el orden de pasos, quizás.
Qué tengo hasta ahora:
./agent_control -l
OSSEC HIDS agent_control. List of available agents:
ID: 000, Name: desarrollo (server), IP: 127.0.0.1, Active/Local
ID: 001, Name: Partagas, IP: 192.168.0.10, Never connected
List of agentless devices:
Como se ve, el cliente está declarado pero aparece que nunca se ha
conectado. ello hace que:
root@desarrollo:/var/ossec/bin# ./agent_control -lc
OSSEC HIDS agent_control. List of available agents:
ID: 000, Name: desarrollo (server), IP: 127.0.0.1, Active/Local
correctamente me diga que solo el servidor está disponible y activo
ahí.
Bien. La documentación dice que primero cree el fichero de los agentes:
First Create the file /var/ossec/etc/shared/agent.conf.
Inside the file you can configure the agent just as you would normally
at ossec.conf
<agent_config>
<localfile>
<location>/var/log/my.log</location>
<log_format>syslog</log_format>
</localfile>
</agent_config>
Y dice que después de la declaración de ese fichero, el manager
"empujará" la configuración al agente...
After you configured, the manager will push it to the agents. Note that
it can take a while for it to complete (since the manager caches the
shared files and only re-reads them every few hours). If you restart the
manager the configuration will be pushed much quicker.
No eo cómo es eso de "empujar", "mandar para allá". He terminado por
copiarlo yo mismo, al ver que nada funciona.
Por supuesto que el servidor lo he reiniciado, así como he reiniciado el
OSSEC en el ansioso cliente. Pero nada...
Pido información para comprobar por dónde va eso:
root@desarrollo:/var/ossec/bin# ./agent_control -i 001
OSSEC HIDS agent_control. Agent information:
Agent ID: 001
Agent Name: Partagas
IP address: 192.168.0.10
Status: Never connected
Operating system: Unknown
Client version: Unknown
Last keep alive: Unknown
Syscheck last started at: Unknown
Rootcheck last started at: Unknown
Como se ve, aparece que nunca se ha conectado al servidor. Y ya no sé
qué más hacerle.
Nada, que estoy trabado. si hay alguien que se haya dado los mismos
tropezones y pueda tirarme un cabo, se lo agradeceré infinitamente.
Porque la verdad es que el OSSEC me resolvía mucho.
--
M.Sc. Alberto García Fumero
Usuario Linux 97 318
Las autoridades sanitarias advierten:
El uso prolongado de Windows puede provocar dependencia.
______________________________________________________________________
Lista de correos del Grupo de Usuarios de Tecnologías Libres de Cuba.
Gutl-l@jovenclub.cu
https://listas.jovenclub.cu/cgi-bin/mailman/listinfo/gutl-l
