翻譯:http://ossec-docs.readthedocs.io/en/latest/manual/agent/agentless-monitoring.html
無代理監控
無代理監視允許您在沒有安裝代理的情況下在系統上運作完整性檢查(包括路由器、防火牆、交換機,甚至linux/bsd系統)。它可以像有代理執行檔案完整性檢查(校驗和變更的警告)或者做比對來顯示所發生的變化。
無代理配置項
agentless
這是包含無代理配置的部分。
frequency
這将控制每次運作之間的秒數。
host
這定義了使用者名和無代理主機。
例如:<host>[email protected]</host>
state
這決定了這些檢查是周期性(periodic)的周期性差異的
periodic:腳本的輸出由OSSEC過程處理
periodic_diff:腳本的輸出與之前運作的輸出相比較。
arguments
這将定義傳遞給腳本的參數。
開始使用無代理
安裝了OSSEC之後,您需要啟用無代理監視:
并向您希望通路的主機提供SSH身份驗證。對于Cisco裝置(PIX、路由器等),您需要為啟用密碼提供額外的參數。如果您想要添加對“su”的支援,那麼它也必須是額外的參數。在本例中,添加了一個Linux box(example.net)和一個PIX防火牆(pix.fw.local):
register_host.sh是一個shell腳本,特殊字元可能需要轉義,以避免shell的解釋。
如果您想要使用公鑰認證而不是密碼,那麼您需要提供作為密碼并建立公鑰:
它将在/var/ossec/.ssh中建立公共密鑰。在此之後,隻需将公鑰發送到遠端,就可以免密運作了。
配置無代理
一旦您添加了所有的系統,您需要配置OSSEC來監視它們。預設情況下,我們有4個無代理的類型(但是我們計劃很快添加):
ssh_integrity_check_bsd
ssh_integrity_check_linux
ssh_generic_diff
ssh_pixconfig_diff
對于前兩個,您将在配置中給出一個目錄清單,而OSSEC将在遠端對它們進行完整性檢查。在ssh_generic_diff中,您提供了一組在遠端控制端上運作的指令,當這些指令的輸出發生變化時,OSSEC将會發出警報。ssh_pixconfig_diff 将在Cisco PIX/路由器配置發生變化時發出警報。
是以,對于我的第一個系統([email protected]),我将每隔10個小時監視/bin、/etc和/sbin目錄(如果我使用ssh完整性tycheckbsd,這個參數也會是目錄):
對于PIX,配置如下:
為了舉例說明ssh_generic_diff ,我還會監控ls-la/etc;在[email protected]上的cat/etc/passwd。注意,如果您想監視任何網絡防火牆或交換機,您可以使用ssh_generic_diff ,并僅在參數選項中指定指令。要使用“su”,您需要在主機名之前設定值“用法”(例如:<host>use_su [email protected]</host>)。
運作完成設定
配置完成後,您可以重新啟動OSSEC。您應該在輸出中看到類似“Started ossec-agentlessd”的内容。在每個無代理連接配接啟動之前,OSSEC将進行配置檢查以確定一切正常。看看/var/ossec/logs/ossec.對任何錯誤日志。如果你看到:
這意味着您沒有在伺服器上安裝必要庫(沒有必要在無代理系統上安裝任何東西來監視)。在Ubuntu上,你可以做以下安裝:
安裝必要庫之後,您可以重新啟動OSSEC,您應該會看到:
當它連接配接到遠端系統時,你也會看到:
警報
以下是你将得到的一些提醒:
對于ssh_generic_diff
對于PIX