Ossec : Management des agents

Management des agents côté serveur

Un agent est une installation d’Ossec sur un hôte. Chaque agent doit être ajouté sur le serveur OSSEC.

Attention : Si votre agent concerne un hôte Windows, vous devez avoir ajouté cet agent sur le serveur avant de l’installer sur l’hôte, car il vous faudra disposer de la clé d’authentification au moment de l’installation.

Pour ajouter un agent à un serveur OSSEC, vous devez suivre les étapes suivantes :

- Exécutez manage_agents sur le serveur OSSEC.
- Ajoutez un agent
- Extrayez la clé pour l’agent.
- Copiez cette clé dans l’agent.
- Exécutez manage_agents sur l’agent.
- Importez la clé copiée du gestionnaire.
- Redémarrez le serveur OSSEC.

Démarrer le manager d’agents sur le serveur OSSEC

manage_agents doit être exécuté en tant qu’utilisateur avec les privilèges appropriés (par exemple, root).

# /home/ossecdnc/public_html/ossec/bin/manage_agents

La version serveur de manage_agents fournit une interface pour :

- (A) ajouter un agent OSSEC au serveur OSSEC
- (E) extraire la clé d’un agent déjà ajouté au serveur OSSEC
- (R) supprimer un agent du serveur OSSEC
- (L) lister tous les agents déjà ajoutés au serveur OSSEC.

Ajouter un agent

Vous devez renseigner trois éléments :

- un nom. Cela peut être le nom d’hôte (recommandé pour éviter les confusions) ou une autre chaîne pour identifier le système. Dans cet exemple, le nom de l’agent sera agent1.

- l’adresse IP de l’agent. (attention elle ne peut être mentionnée qu’une fois)

Cela peut être soit une adresse IP unique (par exemple 192.168.1.25), une plage d’adresses IP (par exemple 192.168.2.0/24), ou "any".

En cas d’une installation monoposte, mentionner l’adresse IP publique (ex:192.168.1.25).

En cas d’installation multiposte derrière un NAT, il est préférable de mettre la mention "any" ou une plage d’adresses IP 192.168.2.0/24). Cela permettra au serveur de de pas en tenir compte et d’éviter des problèmes de connexion.

L’utilisation d’une plage réseau ou "any" est préférable lorsque l’adresse IP de l’agent peut changer fréquemment (DHCP), ou plusieurs systèmes sembleront provenir de la même adresse IP (NAT).

Attention ! Si vous utilisez une adresse IP spécifique, elle doit être unique. Les adresses IP en double provoqueront des problèmes. Plusieurs systèmes peuvent utiliser la même plage IP ou "any".

- La dernière information qui vous sera demandée est l’identifiant que vous souhaitez attribuer à l’agent. manage_agents suggérera une valeur pour l’ID. Cette valeur doit être le nombre positif le plus bas qui n’est pas déjà attribué à un autre agent. L’ID 000 est affecté au serveur OSSEC. Pour accepter la suggestion, appuyez simplement sur ENTER. Pour choisir une autre valeur, tapez-la et appuyez sur ENTER. Il esr recommandé d’accepter la suggestion.

Pour ajouter un agent, tapez "a" dans l’écran de démarrage :

****************************************
* OSSEC HIDS v2.8.3 Agent manager.     *
* The following options are available: *
****************************************
  (A)dd an agent (A).
  (E)xtract key for an agent (E).
  (L)ist already added agents (L).
  (R)emove an agent (R).
  (Q)uit.
Choose your action: A,E,L,R or Q: A

- Adding a new agent (use '\q' to return to the main menu).
 Please provide the following:
  * A name for the new agent: agent1
  * The IP Address of the new agent: 78.228.135.29
  * An ID for the new agent[001]:
Agent information:
  ID:001
  Name:agent1
  IP Address:78.228.135.29

Confirm adding it?(y/n): y
Agent added

Attention ! S’il s’agit du premier agent ajouté à ce serveur, les processus OSSEC du serveur doivent être redémarrés en utilisant / var / ossec / bin / ossec-control restart.

Extraire la clé d’un agent
Après l’ajout d’un agent, une clé est créée. Cette clé doit être copiée dans l’agent. Pour extraire la clé, utilisez l’option "e" dans l’écran de démarrage de manage_agents. Vous recevrez une liste de tous les agents sur le serveur. Pour extraire la clé d’un agent, tapez simplement l’ID de l’agent. Il est important de noter que vous devez entrer tous les chiffres de l’ID.

****************************************
* OSSEC HIDS v2.8.3 Agent manager.     *
* The following options are available: *
****************************************
  (A)dd an agent (A).
  (E)xtract key for an agent (E).
  (L)ist already added agents (L).
  (R)emove an agent (R).
  (Q)uit.
Choose your action: A,E,L,R or Q: E

Available agents:
  ID: 001, Name: agent1, IP: 78.228.135.29
Provide the ID of the agent to extract the key (or '\q' to quit): 001

Agent key information for '001' is:
MDAxIGFnZW50MSA3OC4yMjguMTM1LjI5IDdkNGM5NWZiYTE5ZGIwODBiMzE4MTRmMTlkNmI0NjdjYWRk
ODQyZjM3OThhODFlZWNmYWMzYmU5ZGJlNmMwYWQ=

** Press ENTER to return to the main menu.

Avant de fermer la fenêtre, pensez à copier la clé ! Vous aurez à la coller du côté de l’agent. Attention à ne pas inclure d’espace avant ou après, ni de retour à la ligne.

Redémarrez Ossec côté serveur

# /home/ossecdnc/public_html/ossec/bin/ossec-control restart

Côté agent : Importation de la clé d’authentification

Lancez le manager du côté de l’agent :

# /var/ossec/bin/manage_agents

La version "agent" du manager fournit une interface pour l’importation des clés d’authentification :

****************************************
* OSSEC HIDS v2.5-SNP-100809 Agent manager.     *
* The following options are available: *
****************************************
  (I)mport key from the server (I).
  (Q)uit.
Choose your action: I or Q: i

* Provide the Key generated by the server.
* The best approach is to cut and paste it.
*** OBS: Do not include spaces or new lines.

Paste it here (or '\q' to quit): [key extracted via manage_agents on the server]

Agent information:
  ID:001
  Name:agent1
  IP Address:192.168.2.0/24

Confirm adding it?(y/n): y
Added.
** Press ENTER to return to the main menu.

Redémarrez Ossec côté agent

# var/ossec/bin/ossec-control restart

Si tout a bien été configuré, vous devez voir le nouvel agent avec Ossec-WUI.

Autres actions

Supprimer un agent
Si vous souhaitez supprimer un agent OSSEC du serveur, utilisez l’option r dans l’écran de démarrage de manage_agents. Vous recevrez une liste de tous les agents déjà ajoutés au serveur. Pour supprimer un agent, tapez simplement l’ID de l’agent, appuyez sur Entrée et confirmez la suppression. Il est important de noter que vous devez entrer tous les chiffres de l’ID.

Choose your action: A,E,L,R or Q: r

Available agents:
  ID: 001, Name: agent1, IP: 192.168.2.0/24
Provide the ID of the agent to be removed (or '\q' to quit): 001
Confirm deleting it?(y/n): y
Agent '001' removed.

manage_agents invalide alors les informations de l’agent dans /var/ossec/etc/client.keys. Seules les valeurs de l’ID et de la clé sont conservées pour éviter les conflits lors de l’ajout d’agents. L’agent supprimé ne peut plus communiquer avec le serveur OSSEC.

Voyez : https://ossec.github.io/docs/manual...