Astra Linux.Справка.Ossec

Материал из ТХАБ.РФ
Перейти к: навигация, поиск

Настройка OSSEC[править]

1. Настроить apache2 (глава 12 Ruk_admin) и ossec (глава 15 Ruk_admin)

При корректной работе системы ossec на сервере будет обновляться файл логов: /var/ossec/logs/alerts/alerts.log

2. Проверить установку пакетов:
libapache2-mod-php5
php5-common
php5

3. Установить Alerts_monitor в каталог /var/www/ossec/
Удалить содержимое директорий arch и data
Открыть доступ пользователю в эти директории (лучше всего поменять владельца):
#chown -R user:ossec arch data

4. Права доступа:
- для аутентификации по pam для apache2 удобней всего сделать пользователю первичную группу ossec
#usermod -g ossec user
- при использовании ЕПП надо обеспечить пользователю доступ к файлам:
/var/ossec/logs/* (ко всем поддиректориям)
#setfacl -d -R -m u:user:rx /var/ossec/logs/
#setfacl -R -m u:user:rx /var/ossec/logs/
и
/var/ossec/bin/manage_agents
# setfacl -m u:user:rx /var/ossec/bin/manage_agents

5.Выставить на /var/ossec/bin/manage_agents suid бит.
#chmod u+s /var/ossec/bin/manage_agents

6. Установить incron и создать ему следующий конфиг:
# cat /var/spool/incron/ossec
/var/ossec/logs/alerts/alerts.log IN_MODIFY /var/www/ossec/prog/AlertsMonitor.php (одной строкой)

7. Создать задачу cron.d на ребут сервиса incron (например ежечасно)
#cat /var/spool/cron/crontabs/root
0 * * * * /etc/init.d/incron restart

8. В файле /etc/php5/cli/php.ini выставить часовой пояс:
date.timezone = Europe/Moscow

9. Рекомендуется запустить /var/www/ossec/prog/AlertsMonitor.php из-под пользователя в консоли через команду php.
user:~#php /var/www/ossec/prog/AlertsMonitor.php
После этого в директории /var/www/ossec/data должна появиться служебная информация.

10. Через браузер перейти по адресу
http://server/ossec/prog/UnitList.php

alerts.tgz