'관리툴'에 해당되는 글 7건

  1. 2013.04.30 Puppet 설정 (수정 중)
  2. 2013.04.16 Puppet 설치 및 기본설정 (2)
  3. 2012.05.16 OSSEC agentless 설정하기
  4. 2012.04.20 OSSEC conf
  5. 2012.04.19 OSSEC agent 설정
  6. 2012.04.18 OSSEC WUI 설정
  7. 2012.04.17 OSSEC 설치
posted by 은이종 은이종 2013. 4. 30. 17:49

1. 설정시 참고 사이트

http://wiki.tunelinux.pe.kr/pages/viewpage.action?pageId=884888

 

2.. apache, Passenger 연동하기

Passenger 는 Apacche 2.x 확장기능으로 Apache 에서 Rails 나 Rack applicaiton 을 실행할 수 있다.

Puppet (>0.24.6) now ships with a Rack application which can embed a puppetmaster. Puppet (>0.24.6) 은 이제 puppetmaster 를 내장할 수 있는 Rack applicaiton 이 포함되어 있다.

 

(1) passenger 설치 (참고 http://projects.puppetlabs.com/projects/puppet/wiki/Using_Passenger)

puppetmaster 서버의 puppet.conf 설정에 아래 내용 추가

[puppetmasterd]

ssl_client_header = SSL_CLIENT_S_DN

ssl_client_verify_header = SSL_CLIENT_VERIFY

 

(2) Apache2, Rack and Passenger 설치
yum install httpd httpd-devel ruby-devel rubygems

gem install -v 1.1.0 rack

gem install passenger

설치시 아래와 같이 Error 발생시

yum install ruby-devel 실행 후 update 진행.

추가적으로 apache에 필요한 라이브러리를 설치한다.

yum install curl-devel openssl-devel zlib-devel 


passenger-install-apache2-module


Mod_SSL 설치

yum install mod_ssl

   

설치 후 다음의 내용을 apache 설정에 추가하라고 나온다.

LoadModule passenger_module /usr/lib/ruby/gems/1.8/gems/passenger-3.0.19/ext/apache2/mod_passenger.so

PassengerRoot /usr/lib/ruby/gems/1.8/gems/passenger-2.2.11
PassengerRuby /usr/bin/ruby

 

cp /usr/share/puppet/ext/rack/files/apache2.conf /etc/httpd/conf.d/puppetmaster.conf

vi /etc/httpd/conf.d/puppetmaster.conf

/etc/httpd/conf.d/puppetmaster.conf 설정은 해당 모듈을 로딩하도록 하고 문서를 참고하여 몇가지 옵션을 튜닝하였음. 도메인 이름을 puppet master 서버로 설정함.
port 는 puppet 의 기본 포트인 8140 으로 설정을 하였음.

# cat /etc/httpd/conf.d/puppetmaster.conf

LoadModule passenger_module /usr/lib/ruby/gems/1.8/gems/passenger-3.0.19/ext/apache2/mod_passenger.so

PassengerRoot /usr/lib/ruby/gems/1.8/gems/passenger-2.2.11

PassengerRuby /usr/bin/ruby

# tuning passenger setting

# http://projects.puppetlabs.com/projects/puppet/wiki/Using_Passenger

PassengerMaxRequests 10000

PassengerPoolIdleTime 300

PassengerMaxPoolSize 15

PassengerUseGlobalQueue on

PassengerHighPerformance on

Listen 8140

<VirtualHost *:8140>

SSLEngine on

SSLCipherSuite SSLv2:-LOW:-EXPORT:RC4+RSA

SSLCertificateFile      /var/lib/puppet/ssl/certs/master.jongeun.co.kr.pem

SSLCertificateKeyFile   /var/lib/puppet/ssl/private_keys/master.jongeun.co.kr.pem

SSLCertificateChainFile /var/lib/puppet/ssl/ca/ca_crt.pem

SSLCACertificateFile    /var/lib/puppet/ssl/ca/ca_crt.pem

# CRL checking should be enabled; if you have problems with Apache complaining about the CRL, disable the next line

SSLCARevocationFile     /var/lib/puppet/ssl/ca/ca_crl.pem

SSLVerifyClient optional

SSLVerifyDepth  1

SSLOptions +StdEnvVars

# The following client headers allow the same configuration to work with Pound.

RequestHeader set X-SSL-Subject %{SSL_CLIENT_S_DN}e

RequestHeader set X-Client-DN %{SSL_CLIENT_S_DN}e

RequestHeader set X-Client-Verify %{SSL_CLIENT_VERIFY}e

ServerName master.jongeun.co.kr

ServerAlias master.jongeun.co.kr

RackAutoDetect On

DocumentRoot /usr/share/puppet/rack/puppetmasterd/public/

<Directory /usr/share/puppet/rack/puppetmasterd/>

Options None

AllowOverride None

Order deny,allow

Deny from all

</Directory>

<Location />

Options None

Order deny,allow

Deny from all

allow from 10.40

</Location>

</VirtualHost>
 

여러개의 도메인을 이용해야 하므로 SSL 설정에서 ServerName, ServerAlias 에 사용할 모든 도메인을 설정해 주어야 한다. 안 그러면 puppet client 에서 접속시 인증서와 관련한 에러가 난다. (certificate verify failed 등의 메시지)

/var/lib/puppet/ssl/ca/ca_crt.pem 파일은 /var/lib/puppet/ssl/certs/ca.pem 으로 설정을 하는 것이 편리하다.

mkdir -p /usr/share/puppet/rack/puppetmasterd

mkdir /usr/share/puppet/rack/puppetmasterd/public /usr/share/puppet/rack/puppetmasterd/tmp

cp /usr/share/puppet/ext/rack/files/config.ru /usr/share/puppet/rack/puppetmasterd/

chown puppet /usr/share/puppet/rack/puppetmasterd/config.ru

httpd 시작

/etc/init.d/httpd restart

모든 것이 정상작동을 하면 이제 puppetmaster 는 직접 실행을 하지 않아도 된다. puppet client 에서 요청을 하면 httpd 에서 puppetmaster 를 띄운다. httpd 를 내리면 puppetmaster 도 내려간다.

 

 

 

3. Puppet 시스템 구성

Puppet Master server : puppet certs 서버. puppet client 에 대한 인증 기능 수행
Puppet File server : puppet file 배포용
Puppet Reporting server : puppet reporting 용

 

 

 

 

 

24 모듈 설치 방법

Puppet 은 프로세서 내  forge.puppet labs.com의 연결을  통하여, Module을 설치할수 있다.

puppet module list 현재 설치되어있는 리스트 확인

 

3. NTP 설치

puppet module search ntp

forge.puppet labs.com 의 ntp 프로세서가 있는지 확인한다.

puppet module install puppetlabs-ntp

'관리툴 > Puppet' 카테고리의 다른 글

Puppet 설정 (수정 중)  (0) 2013.04.30
Puppet 설치 및 기본설정  (2) 2013.04.16

댓글을 달아 주세요

posted by 은이종 은이종 2013. 4. 16. 18:28

1. 배경

Puppet은 아래의 그림 처럼 하나의 Master 서버에서 설정(아파치 설정, WAS 기동 등..)을
하면 각 Agent에게 설정 정보를 보냅니다. (이러한 명령을 "catalog" 라고 합니다.)
수신된한 Agent는 변경된 설정 정보를 실행하고, 결과 리포트는 Master에게
전송 합니다.

Puppet의 특징

- GPL 기반 오픈 소스이며, Ruby에서 할 수있다
(Ent버전 유료과 오픈 버전이 있습니다.) 
- 자신의 선언적 언어로 시스템을 관리 -> 고유 언어 시스템으로 작성된 파일을 "매니페스트"라고 합니다.
- 클라이언트 / 서버 아키텍처
- 추상화 레이어 -> 여러 OS가 혼합된 환경에서도 OS의 차이를 의식하지 않고, 단일 매니페스트에서 시스템을 관리 할 수 있게 된다.
- 종속성 처리
- LDAP 지원

자원 : 사용자, 파일, 소프트웨어 등의 Puppet 관리 대상
매니페스트 만들기 첫 걸음은 자원을 선언하는 것

file (파일)
user (사용자)
group (그룹)
host (호스트)
package (소프트웨어 패키지)
service (실행중인 서비스)
그외 다양함

Puppet의 기본 동작은 puppetd가 30 분에 1 회 puppetmasterd에 매니페스트를 가져 가고, 자신에 매니페스트를 적용합니다. 
이 경우 puppetd이 puppetmasterd에 액세스 할 타이밍을 제어하는 것이 어렵 기 때문에 다음과 같은 문제가 있습니다.
- Puppet 클라이언트가 수백 대 혹은 그 이상의 규모가 된 경우 Puppet 서버에 대한 액세스가 동 시간대에 집중 될 수있다
- 새로운 명단을 우선 하나만 적용하여 테스트 해보고 싶다,라고하더라도 모든 서버에 마음대로 적용되어 버릴 우려가있다
이 문제를 해결하기 위해서는 puppetrun을 이용해 Puppet을 운영해야합니다.


템플릿 기능은 Puppet 클라이언트의 조건에 따라 내용이 다른 파일을 클라이언트마다 만들수 있습니다.
puppetrun의 일부 옵션(-all-class)이 LDAP에서 노드 관리하지 않으면 사용할 수 없다는 점이 있습니다.
Puppet의 설정 및 데이터 파일 (매니페스트 템플릿 배포 파일, 모듈 등)을 Subversion에서 관리하여,
누가 어떻게 변화를했는지 기록도 남아 있기 때문에, 변경 추적 및 감사 변경을 롤백 할 수 있습니다.

-기타 주의 사항-
1CPU/2GB 메모리 Puppet Master 서버 1대에서 50~100 대의 Puppet 클라이언트를 관리하는 것이 한계

단일 구성의 향상
Puppet에서는 웹 서버로, Ruby 표준에 포함되어있는 WEBrick을 사용하므로, Mongrel으로 대체할 수 있는데, Mongrel의 경우 SSL 처리가 안되므로,리버스 프록시 구성으로 Apache + mod_ssl + mod_proxy 와 같이 구성하면 됩니다.
Nginx를 사용하는 것도 한 방안임.
SSL 인증서를 사용할 경우, 키 인증과 관련한 구성상의 문제점이 있으므로 상세한 확인이 필요한다.

[출처] puppet 요약|작성자 


 2. 설치 환경

  • OS

     테스트 설치 환경은 "CentOS 6.4 x32" 입니다. 

  • Ruby

     Puppet은 Ruby로 만들었기 때문에 반드시 Ruby를 반드시 설치해야 합니다.

     1.9.x 버전이 OpenSSL과 연동시 이슈가 있었습니다. 
     그래서 현 시점에서는 1.8.x 버전을 설치 하시길 권고 드립니다.

  • 서버 구성

     서버는 Master 1 대, Agent 1대 총 2대로 진행 하며, Puppet은 Master <-> Agent 간에
     SSL 통신을 하기 때문에 도메인이 필요 합니다.

     하지만 이번 설치에는 /etc/hosts 파일에 설정을 하면서 진행 했습니다.
     Master 도메인 : master.jongeun.co.kr
     Agent 도메인 : client1.jongeun.co.kr


3. Master 설치 하기

Yum 설치로 진행을 하였습니다. 기본 CentOS repo로는 설치가 안되므로,
sourceforge 의 Repo를 연결하여 진행합니다.

wget http://packages.sw.be/rpmforge-release/rpmforge-release-0.5.1-1.el5.rf.i386.rpm

rpm -Uvh rpmforge-release-0.5.1-1.el5.rf.i386.rpm


  (1) 루비 및 관련 라이브러리 설치

     ※ruby와 관련 라이브러리들을 설치 합니다.
     # yum install ruby ruby-libs ruby-shadow


   (2) Puppet Master 설치

     Puppet을 설치하려면 3가지 패키지를 설치해 해야 합니다.

  • puppet : Agent 모듈
  • puppet-server : Master 모듈
  • facter : 서버 정보를 gathering 하는 모듈

     # yum install puppet puppet-server facter

 

4. Agent 설치 하기

     Master 설치하기 와 동일하고 3번 설치 항목에서 2개만 설치 합니다.

  1. Puppet Agent 설치 하기

     # yum install puppet facter


5. Master 설정 하기

 vi /etc/puppet/puppet.conf

          [master]

          certname=master.jongeun.co.kr

"cetname"은 master 도메인 정보를 설정하는 속성입니다. 추후에 이 도메인명을 가지고 SSL 인증서를 발급 합니다.

추가로 conf에 "[main]"은 공통 설정,  "[master]"는 master 전용 설정, 마지막으로  "[agent]"는 agent를 위한 설정 입니다. 

Puppet은 TCP 8140을 사용하기에 Iptable에서 허용해줘야합니다. 

-A INPUT -m state --state NEW -m tcp -p tcp --dport 8140 -j ACCEPT
 


6. Agent 설정 하기

  vi /etc/puppet/puppet.conf

  [agent]
  certname=client1.jongeun.co.kr

 Agent의 도메인 정보를 입력 합니다. 추후에 서버에서 SSL 인증서를 발급 받습니다.

  • 만약 master 도메인이 퍼블릭 도메인이 아닌 경우는 "/etc/hosts" 파일에 도메인 정보를 추가 합니다.

          192.168.0.1 master.jongeun.co.kr
 
 
Puppet은 TCP 8140을 사용하기에 Iptable에서 허용해줘야합니다. 

-A INPUT -m state --state NEW -m tcp -p tcp --dport 8140 -j ACCEPT



7. Master to Agent 연동 하기  

     Master 와 각 Agent는 SSL 통신을 합니다. Master 입장에서는 승인된 Agent정보가 필요하며,
     반대로 Agent도 승인된 Master가 필요 합니다. 즉 쌍뱡향 SSL 승인절차를 필요 합니다.
     서로 같에 SSL 승인이 되지 않으면 연동 자체가 불가 합니다.
     Puppet 같은 경우는 자체 CA (certificate authority) 인증 기관이 있고,  SSL 인증을 최적화
     되어 있습니다.
     그래서 공인인증 수준의 SSL 인증 발급을 쉽게 할수 있도록 지원을 합니다. 
     Puppet은 큰 특징 중 하나가 바로 SSL 인증 발급을 하는 것입니다.
     또한 Customize 할수 있는 기능도 제공 합니다.

     인증서 발급 FLOW는 아래와 같습니다.



     (1) Master 서버가 기동을 해서 Agent를 리스닝 합니다.

     (2) Agent는 서버에 접속을 합니다.
     (3) Master는 Agent의 도메인 정보를 얻은 후 SSL을 발급 합니다.
     (4) 발급된 ".pem" 파일을 Agent에 전송 합니다.

     (5) Agent는 "/etc/puppet/ssl" 폴더에 서버 와 본인 인증서를 저장 합니다.
     (6) 이후 부터는 인증서를 통해서 ssl 통신을 합니다.


 <<Master > 
 
puppet master --no-daemonize -d -v

-no-daemonize : puppet을 데몬이 아닌 foreground로 실행하는 옵션

-debug : debug 모드로 실행

-verbose: verbose 모드로 실행




<<Agent >

 
puppet agent --server master.jongeun.co.kr --no-daemonize --verbose




  • << Master >>

    puppet cert --all and --list
     
     
    "+" 표기된 부분은 발급이 완료된 Agent들을 말합니다. 지금 접속한 "node1.example.com"은 "+" 표시가 되어 있지 않습니다.  즉, 서버에 접속은 되어 있지만 발급이 안되서 대기중인 상태를 말합니다.


          puppet cert --sign client1.jongeun.co.kr
       
clien1.jongeun.co.kr 로 접속한 Agent에게 SSL 인증서를 발급 하겠다는 내용 입니다.



  • <<Agent >>
    발급이 완료되면 Master로 부터 새로운 catalog(설정 변경에 대한 지시 사항)을 받습니다.
    puppet agent --server master.jongeun.co.kr --no-daemonize --verbose





  • 최종적으로 아래와 같이 Master/Agent 로그가 나오면 정상적으로 설정이 완료 됩니다.

          추후 Agent가 추가가 되면 위에 설정 방식을 반복해서 설정을 하면 됩니다.

<<Master Side>>

<<Agent Side>>

     다음에 간단하게 Master에 있는 파일을 다운로드 받아서 Agent 특정 위치로 복사하는 예제를
     올리도록 하겠습니다.

8. 참고 자료

'관리툴 > Puppet' 카테고리의 다른 글

Puppet 설정 (수정 중)  (0) 2013.04.30
Puppet 설치 및 기본설정  (2) 2013.04.16

댓글을 달아 주세요

  1. 김재환 2016.03.29 13:12  Addr  Edit/Del  Reply

    너무 좋은 글 잘 읽고 갑니다.

  2. 2018.10.02 20:32  Addr  Edit/Del  Reply

    비밀댓글입니다

posted by 은이종 은이종 2012. 5. 16. 18:14


ossec 는 기본적으로 agent 방식이다.


허나 클라이언트쪽 사정으로 agent 설치가 불가할 경우,

agentless 방식으로 설정을 할 수 있다.



우선 


agentless 방식은 expect 패키지를 이용함으로


expect 패키지를 설치한다.


 yum install expect



1. 등록하기


/var/ossec/agentless/register_host.sh add host@ip password 




'관리툴 > OSSEC' 카테고리의 다른 글

OSSEC agentless 설정하기  (0) 2012.05.16
OSSEC conf  (0) 2012.04.20
OSSEC agent 설정  (0) 2012.04.19
OSSEC WUI 설정  (0) 2012.04.18
OSSEC 설치  (0) 2012.04.17

댓글을 달아 주세요

posted by 은이종 은이종 2012. 4. 20. 10:39

/var/ossec/etc

OSSEC HIDS가 사용하는 모든 구성 파일이 저장되어 있습니다.


/var/ossec/etc/ossec.conf

OSSEC HIDS의 기본 설정 파일입니다.


/var/ossec/etc/internal_options.conf

추가 설정을 설명하는 파일입니다.


/var/ossec/etc/decoders.xml

로그의 내용을 표준화하기위한 디코딩 설정 파일입니다.


/var/ossec/etc/client.keys

에이전트와 서버 사이에서 통신할 때 사용되는 인증 키입니다.


/var/ossec/logs

OSSEC HIDS에 관한 모든 로그가 저장되어 있습니다.


/var/ossec/logs/ossec.log

OSSEC HIDS 기본 로그입니다. (error, warn, info, 기타 포함)


/var/ossec/logs/alerts/alerts.log

OSSEC HIDS 경고 로그입니다.


/var/ossec/logs/active - responses.log

OSSEC HIDS의 활성 응답 로그입니다.


/var/ossec/queue

OSSEC HIDS 큐 파일이 저장되어 있습니다.


/var/ossec/queue/agent - info

에이전트에 특정 정보가 들어있는 디렉토리입니다. (OS, OSSEC HIDS 버전 등)


/var/ossec/queue/syscheck

에이전트마다 구별되었다 무결성 검사에 사용되는 데이터가 저장되는 디렉토리입니다.


/var/ossec/queue/rootcheck

각 에이전트에 대한 rootkit 정보와 정책 모니터링 데이터가 저장되는 디렉토리입니다.


/var/ossec/queue/rids

에이전트의 메시지 ID가 들어있는 디렉토리입니다.


/var/ossec/queue/fts

First Time Seen (FTS) 항목이 포함된 파일을 포함하는 디렉토리입니다. 


/var/ossec/rules

OSSEC HIDS의 모든 규칙이 저장되어있는 디렉토리입니다.


/var/ossec/stats

OSSEC HIDS의 통계 정보가 저장되는 디렉토리입니다. 통계 정보에는 초 단위로 측정한 로그 있습니다.

[출처] ossec-hids 의 설치|작성자 

'관리툴 > OSSEC' 카테고리의 다른 글

OSSEC agentless 설정하기  (0) 2012.05.16
OSSEC conf  (0) 2012.04.20
OSSEC agent 설정  (0) 2012.04.19
OSSEC WUI 설정  (0) 2012.04.18
OSSEC 설치  (0) 2012.04.17

댓글을 달아 주세요

posted by 은이종 은이종 2012. 4. 19. 15:08

OSSEC 설치하는 과정에서 특이점이


우선은 

1 . agent 방식

2.  agentless 방식이 있다는 점

3. 그리고 key값을 통한 인증이 필요하다는 점


TCP 1514 Port를 iptables에서 허용해야 함




agent 설치 과정



<server>

#./manage_agent


실행하여 

해당 클라이언트 정보 등록


key 값을 확인한다.





<client>

wget http://www.ossec.net/files/ossec-hids-2.6.tar.gz


압축풀고


#./install.sh


실행


server에서 확인한 key값을 넣고


./ossec-agent 실행





'관리툴 > OSSEC' 카테고리의 다른 글

OSSEC agentless 설정하기  (0) 2012.05.16
OSSEC conf  (0) 2012.04.20
OSSEC agent 설정  (0) 2012.04.19
OSSEC WUI 설정  (0) 2012.04.18
OSSEC 설치  (0) 2012.04.17

댓글을 달아 주세요

posted by 은이종 은이종 2012. 4. 18. 13:37

WUI 설정



다운

 wget http://www.ossec.net/files/ui/ossec-wui-0.3.tar.gz


압축 풀기

 $ tar -zxvf ossec-wui-0.3.tar.gz

웹페이지 경로로 이동
 # mv ossec-wui-0.3 /var/www/html/ossec-wui

 

셋업파일 실행
   # cd /var/www/html/ossec-wui
   # ./setup.sh



그룹지정-아파지유저 추가

  # vi /etc/group
   ..
   From:
       ossec:x:1002:
   To (if your web server user is www):
       ossec:x:1002:apache

인시폴더 권한설정
   # cd /var/ossec

   # chmod 770 tmp/
   # chgrp www tmp/ 

     www : 본인이 사용하는 user 계정
   # apachectl restart


php.ini  변경 설정값

    max_execution_time = 180
    max_input_time = 180
    memory_limit = 30M



*** ossec.conf 파일을 dir 경로를 ossec 설치경로로 맞춰준다. 본인같은 경우 /usr/local/ossec 에 설치됨  ***

마지막으로 웹에서 확인하면 됨.

http://localhost/ossec-wui



'관리툴 > OSSEC' 카테고리의 다른 글

OSSEC agentless 설정하기  (0) 2012.05.16
OSSEC conf  (0) 2012.04.20
OSSEC agent 설정  (0) 2012.04.19
OSSEC WUI 설정  (0) 2012.04.18
OSSEC 설치  (0) 2012.04.17

댓글을 달아 주세요

posted by 은이종 은이종 2012. 4. 17. 17:01

OSSEC (http://www.ossec.net/)

 

앞의 체크루트킷 프로그램과 달리 시스템상  데몬으로 동작하면서 지속적으로 시스템주요 파일 및 로그들을 확인하고, 외부공격에 바로 대응(active-response) 할 수 있도록 설정이 가능하다. 관리자에게 실시간으로 메일을 전송한다.

 

 


다운로드 및 설치

www.ossec.net에서 다운받을수 있다.


http://www.ossec.net/files/ossec-hids-2.5.1.tar.gz 파일 주소 확인


# wget http://www.ossec.net/files/ossec-hids-2.5.1.tar.gz


# tar -zxf ossec-hids-2.5.1.tar.gz

# cd ossec-hids-2.5.1

# ./install.sh

 

  (en/br/cn/de/el/es/fr/it/jp/nl/pl/ru/sr/tr) [en]: en


 OSSEC HIDS v2.5.1 Installation Script - http://www.ossec.net

 

 

1- What kind of installation do you want (server, agent, local or help)?

è  원격서버에 agent 옵션으로 설치하고, agent로 설치된 서버의 정보를 포워딩할 서버에 server로 설치하면 agent로 설치되어 있는 서버의 정보를 server 옵션으로 설치한 리눅스 서버시스템으로 agent 서버의 로그검사 정보를 포워딩하여 server측에서agent 서버의 정보를 얻어올수 있다.



2- Setting up the installation environment.

 

 - Choose where to install the OSSEC HIDS [/var/ossec]: /var/ossec

 

    - Installation will be made at  /var/ossec .

 



3- Configuring the OSSEC HIDS.

 

  3.1- Do you want e-mail notification? (y/n) [y]: y

   - What's your e-mail address? kmg0113@hotmail.com

 

   - We found your SMTP server as: mx2.hotmail.com.

   - Do you want to use it? (y/n) [y]: y

 

   --- Using SMTP server:  mx2.hotmail.com.

 

  3.2- Do you want to run the integrity check daemon? (y/n) [y]: y -> 무결성 체크 데몬을 실행

 

   - Running syscheck (integrity check daemon).

 

  3.3- Do you want to run the rootkit detection engine? (y/n) [y]: y -> 루트킷 검출 엔진을 실행

 

   - Running rootcheck (rootkit detection).

 

  3.4- Active response allows you to execute a specific

       command based on the events received. For example,

       you can block an IP address or disable access for

       a specific user.

       More information at:

http://www.ossec.net/en/manual.html#active-response

 

   - Do you want to enable active response? (y/n) [y]: y -> 실시간 응답 사용

 

     - Active response enabled.

 

   - By default, we can enable the host-deny and the

     firewall-drop responses. The first one will add

     a host to the /etc/hosts.deny and the second one

     will block the host on iptables (if linux) or on

     ipfilter (if Solaris, FreeBSD or NetBSD).

   - They can be used to stop SSHD brute force scans,

     portscans and some other forms of attacks. You can

     also add them to block on snort events, for example.

 

   - Do you want to enable the firewall-drop response? (y/n) [y]: y -> 방화벽이 중지되었을 때 응답 사용

 

     - firewall-drop enabled (local) for levels >= 6

 

   - Default white list for the active response:

      - 168.126.63.1

      - 168.126.63.2

      - 211.234.118.50

      - 121.78.117.39

 

   - Do you want to add more IPs to the white list? (y/n)? [n]: n -> 화이트리스트IP를 추가

 


  3.6- Setting the configuration to analyze the following logs:

    -- /var/log/messages

    -- /var/log/secure

    -- /var/log/xferlog

    -- /var/log/maillog

    -- /var/log/squid/access.log -> 분석할 로그파일들을 보여준다.

 

 - If you want to monitor any other file, just change

   the ossec.conf and add a new localfile entry.

   Any questions about the configuration can be answered

   by visiting us online at http://www.ossec.net .


설정이 끝났으면 인스톨을 시작후 완료된다.

 



실행


# /var/ossec/bin/ossec-control start


자동시작 데몬 등록

# cat /etc/rc.d/rc.local

/var/ossec/bin/ossec-control start 



host.allow

host.deny

selinux 확인


iptables 1514 UDP port 열어줘야함 



======================================


테스트 결과, 실시간  반영이 잘 되지 않는 경향이 있어서

tripwire로 변경해서 작업


참고

https://www.linux.co.kr/security/tripwire/



 



'관리툴 > OSSEC' 카테고리의 다른 글

OSSEC agentless 설정하기  (0) 2012.05.16
OSSEC conf  (0) 2012.04.20
OSSEC agent 설정  (0) 2012.04.19
OSSEC WUI 설정  (0) 2012.04.18
OSSEC 설치  (0) 2012.04.17

댓글을 달아 주세요