Daha önce linux akademi'nin Blog'unda Ossec (HIDS) Kurulumu ve Yapılandırma‘sını anlatan bir döküman yayınlamıştım. İlgili dökümandan hareketle kurulan ossec sistemlerinde, agent'lar üzerinde yapılacak dosya bütünlük kontrolü, rootkit tespiti ve log monitoring gibi işlemlerde hangi dosya/dizinlerin izleneceği vs. gibi tüm yapılandırma işlemleri default olarak uzak host üzerinde bulunan ossec yapılandırma dosyası üzerinde tanımlanmaktadır. Bu durum monitor ettiğiniz hostlarda tek tek düzenleme yapılması anlamına geldiği için özellikle fazla sayıda host'u monitor etmek iş gücü anlamında maliyetli bir durum oluşturmaktadır. Böylesi bir durumda agent yapılandırmalarını merkezi olarak düzenleyebilmek isteyebilirsiniz.  İşte bu sebeple ossec, syscheck (dosya bütünlük kontrolü) rootkit tespiti ve log monitoring tanımlamalarının merkezi yapılabilmesine olanak sağlamaktadır.

Normalde, agentlara ait tüm yapılandırma, uzak hostta /var/ossec/etc/ossec.conf dosyasında yapılmakta ve bu dosya içerisinde Ossec Server'ın IP adresi ile ilgili host için izlenecek dosya/dizin vs. gibi yapılandırma işlemleri tanımlanmaktadır. Merkezi yapılandırma işleminde ise hemen tüm agent yapılandırması Ossec Server üzerindeki /var/ossec/etc/shared/agent.conf içerisinden tanımlanmakta ve bu dosya içerisindeki yapılandırma yönergeleri agent'lara push edilmektedir. Merkezi yapılandırma, agent'ları isimlerine göre tasnif ederek agent spesifik tanımlamalar yapabilmenize olanak sağladığı gibi agent'ları işletim sistemlerine göre de gruplamanıza da imkan vermektedir. Bu şekilde örneğin üzerinde Linux çalışan hostlar ile Windows çalışan hostlarda yapılacak monitoring işlemlerini ayrı ayrı ve toplu olarak tanımlayabilirsiniz.

Bu yapılandırma işlemi için şu adımları izleyebilirsiniz:

Deminde bahsettiğim gibi Ossec agent'larda tüm yapılandırma /var/ossec/etc/ossec.conf dosyasında bulunmaktadır. Yapılandırmayı Ossec Server'dan merkezi olarak düzenlemek istemeniz durumunda ilgili dosya içerisinde sadece Ossec Server'ın IP'sinin belirtildiği bölümün -ve varsa command ile full_command bölümlerinin- kalması yeterlidir.

Örnek bir ossec.conf şu şekilde olmalıdır:

  
    10.10.12.200
  

Ana yapılandırma içerisinde command ve full_command komutları da varsa (ki defaulf kurulumda gelir), aynı şekilde ilgil bölümleri tagleri içerisine yazmanız gerekmektedir. Bu gibi bir yapılandırma için conf şu şekilde olmalıdır:

  
    10.10.12.200
  

  
    command
    df -h
  

  
    full_command
    netstat -tan |grep LISTEN |grep -v 127.0.0.1 | sort
  

  
    full_command
    last -n 5
  

Agent tarafında zorunlu olarak yapılması gereken tanımlamalar bundan ibarettir.

Ossec Server tarafında tüm işlemler /var/ossec/etc/shared/agent.conf içerisinde yapılmaktadır. Örnek olarak ismi agent001 olan bir host için default monitoring yapılandırması şu şekilde olmalıdır:

agent001

agent001“> şeklinde agent'imizin ismini belirterek yapılandırmanın sadece ilgili agent'a uygulanması gerektiğini söylüyoruz.

agent ismiLinux (ya da) Windows“> şeklinde bir kategorizasyon uygulanabilmektedir.

Tanımlamaların ardından, hem server hem de agent tarafından ossec servisinin restart edilmesi gerekiyor:

/var/ossec/bin/ossec-control restart

Bu şekilde yapılandırma merkezi bir şekilde düzenlenmiş oluyor.
Not: Ossec kendi içerisinde bir caching mekanizması kullandığından dolayı değişikliklerin yansıması biraz zaman alabilmektedir.