Ossec Merkezi Agent Yapılandırması
Warning: mysqli_query(): (HY000/3): Error writing file '/tmp/MYCVHOEl' (Errcode: 28 - No space left on device) in /usr/share/nginx/html/syslogs/wp-includes/class-wpdb.php on line 2349
Daha önce linux Akademi'nin Blog'unda Ossec (HIDS) Kurulumu ve Yapılandırma‘sını anlatan bir döküman yayınlamıştım. İlgili dökümandan hareketle kurulan ossec sistemlerinde, agent'lar üzerinde yapılacak dosya bütünlük kontrolü, rootkit tespiti ve log monitoring gibi işlemlerde hangi dosya/dizinlerin izleneceği vs. gibi tüm yapılandırma işlemleri default olarak uzak host üzerinde bulunan ossec yapılandırma dosyası üzerinde tanımlanmaktadır. Bu durum monitor ettiğiniz hostlarda tek tek düzenleme yapılması anlamına geldiği için özellikle fazla sayıda host'u monitor etmek iş gücü anlamında maliyetli bir durum oluşturmaktadır. Böylesi bir durumda agent yapılandırmalarını merkezi olarak düzenleyebilmek isteyebilirsiniz. İşte bu sebeple ossec, syscheck (dosya bütünlük kontrolü) rootkit tespiti ve log monitoring tanımlamalarının merkezi yapılabilmesine olanak sağlamaktadır.
Normalde, agentlara ait tüm yapılandırma, uzak hostta /var/ossec/etc/ossec.conf dosyasında yapılmakta ve bu dosya içerisinde Ossec Server'ın IP adresi ile ilgili host için izlenecek dosya/dizin vs. gibi yapılandırma işlemleri tanımlanmaktadır. Merkezi yapılandırma işleminde ise hemen tüm agent yapılandırması Ossec Server üzerindeki /var/ossec/etc/shared/agent.conf içerisinden tanımlanmakta ve bu dosya içerisindeki yapılandırma yönergeleri agent'lara push edilmektedir. Merkezi yapılandırma, agent'ları isimlerine göre tasnif ederek agent spesifik tanımlamalar yapabilmenize olanak sağladığı gibi agent'ları işletim sistemlerine göre de gruplamanıza da imkan vermektedir. Bu şekilde örneğin üzerinde linux çalışan hostlar ile Windows çalışan hostlarda yapılacak monitoring işlemlerini ayrı ayrı ve toplu olarak tanımlayabilirsiniz.
Bu yapılandırma işlemi için şu adımları izleyebilirsiniz:
Agent Tarafındaki Yapılandırma İşlemleri
Deminde bahsettiğim gibi Ossec agent'larda tüm yapılandırma /var/ossec/etc/ossec.conf dosyasında bulunmaktadır. Yapılandırmayı Ossec Server'dan merkezi olarak düzenlemek istemeniz durumunda ilgili dosya içerisinde sadece Ossec Server'ın IP'sinin belirtildiği bölümün -ve varsa command ile full_command bölümlerinin- kalması yeterlidir.
Örnek bir ossec.conf şu şekilde olmalıdır:
10.10.12.200
Ana yapılandırma içerisinde command ve full_command komutları da varsa (ki defaulf kurulumda gelir), aynı şekilde ilgil bölümleri
10.10.12.200 command df -h full_command netstat -tan |grep LISTEN |grep -v 127.0.0.1 | sort full_command last -n 5
Agent tarafında zorunlu olarak yapılması gereken tanımlamalar bundan ibarettir.
Server Tarafındaki Yapılandırma İşlemleri
Ossec Server tarafında tüm işlemler /var/ossec/etc/shared/agent.conf içerisinde yapılmaktadır. Örnek olarak ismi agent001 olan bir host için default monitoring yapılandırması şu şekilde olmalıdır:
agent001
agent001“> şeklinde agent'imizin ismini belirterek yapılandırmanın sadece ilgili agent'a uygulanması gerektiğini söylüyoruz.
agent ismilinux (ya da) Windows“> şeklinde bir kategorizasyon uygulanabilmektedir.
Tanımlamaların ardından, hem server hem de agent tarafından ossec servisinin restart edilmesi gerekiyor:
/var/ossec/bin/ossec-control restart
Bu şekilde yapılandırma merkezi bir şekilde düzenlenmiş oluyor.
Not: Ossec kendi içerisinde bir caching mekanizması kullandığından dolayı değişikliklerin yansıması biraz zaman alabilmektedir.
Bu yazılar da ilginizi çekebilir:
- OSSEC (HIDS) Kurulumu ve Yapılandırması
- Scalpel ile Data Recovery
- FreeBSD NFS Server ve Client Yapılandırması
- Monit ile Sistem Monitoring – Kurulum ve Yapılandırma
- BandwidthD ile Birden Fazla Interface’i Monitor Etmek | FreeBSD
Yorumlar
Henuz yorum yapilmamis.
Yorumda bulunun.