Serveur Ossec : "remoted not running"

samedi 9 décembre 2017, par DnC

Si remoted n’est pas démarré

Voir : https://ossec.github.io/docs/programs/ossec-remoted.html

Passer remoted en mode DEBUG
Dans le fichier : .../ossec/etc/internal_options.conf :

# Debug options.

# Debug 0 -> no debug

# Debug 1 -> first level of debug

# Debug 2 -> full debugging



...



# Remoted (server debug)

remoted.debug=2

Redémarrer ossec et examiner ossec.log :

Le mode DEBUG n’apporte rien ?

Exécuter remoted en avant-plan

# /home/ossecdnc/public_html/ossec/bi

n/ossec-remoted -f -d -d

Permissions de /queue/rids/

# /home/ossecdnc/public_html/ossec/bi

n/ossec-remoted -f -d -d

2017/12/04 14:24:22 ossec-remoted: DEBUG: Starting ...

2017/12/04 14:24:22 ossec-remoted: INFO: Started (pid: 30419).

2017/12/04 14:24:22 ossec-remoted: DEBUG: Forking remoted: '0'.

2017/12/04 14:24:22 ossec-remoted(1212): ERROR: Unable to create PID file.

ossecd tourne sous ossecm et ne peut écrire les compteurs dans queue/rids.
Il faut que le groupe ossec soit autorisé.
Il faut également que les permissions des fichiers de /queue/rids soient 660 ?

Permissions de /queue/alerts/ar/

root@vps223233 [~]# /home/ossecdnc/public_html/ossec/bin/ossec-remoted -f -d -d

2017/12/09 09:18:30 ossec-remoted: DEBUG: Starting ...

2017/12/09 09:18:30 ossec-remoted: INFO: Started (pid: 25345).

2017/12/09 09:18:30 ossec-remoted: DEBUG: Forking remoted: '0'.

root@vps223233 [~]# 2017/12/09 09:18:30 ossec-remoted: INFO: Started (pid: 25346

).

2017/12/09 09:18:30 ossec-remoted: DEBUG: Running manager_init

2017/12/09 09:18:30 ossec-remoted(1210): ERROR: Queue '/queue/alerts/ar' not acc

essible: 'Permission denied'.

Les permissions de ar doivent être srw-rw---- root ossec ???

Port UDP 1514 : problème avec IPV6, Ossec en version 2.9.2

root@vps223233 [/home/ossecdnc/public_html/ossec]# /home/ossecdnc/public_html/os

sec/bin/ossec-remoted -f -d -d

2017/12/09 09:48:04 ossec-remoted: DEBUG: Starting ...

2017/12/09 09:48:04 ossec-remoted: INFO: Started (pid: 996).

2017/12/09 09:48:04 ossec-remoted: DEBUG: Forking remoted: '0'.

root@vps223233 [/home/ossecdnc/public_html/ossec]# 2017/12/09 09:48:04 ossec-rem

oted(1206): ERROR: Unable to Bind port '1514'

voir : https://github.com/ossec/ossec-hids/issues/1061

Solutions :
– redémarrer le serveur.
– vérifier que IPV6 est bien configuré
– ??? Appliquer : https://github.com/ossec/ossec-hids/pull/1259

Dans ossec.log : ERROR : No IP or network allowed in the access list for syslog. No reason for running it. Exiting.

Le mode syslog est activé, mais aucun agent n’est autorisé.
Il faut autoriser les agents dans la configuration :

<remote>

<connection>syslog</connection>

<allowed-ips>your-device-ip-1</allowed-ips>

<allowed-ips>your-device-ip-2</allowed-ips>

<allowed-ips>your-device-ip-3</allowed-ips>

</remote>

Monitoring by DnC Un UI évolué pour Ossec avec des facilités d’analyse