CemtOS6.5サーバーでOSSECをセットアップしようとしています。これは、サーバーやローカルインスタンスではなく、エージェントとしてインストールされます。パッケージが正常にインストールされ、clients.keyファイルを作成しましたが、デーモンを起動しようとするとエラーが発生します
error: queue not accessible (/var/ossec/etc/queue/ossec) connection refused
ログファイルは役に立ちません。私はOSSECを使用したことがありませんが、残念ながらドキュメントは弱いようです。
これを少しグーグルした後、この問題を抱えているほとんどの人は、いくつかの権限が正しく設定されていません。 OSSECディレクトリ構造内のすべてを777で処理し、すべてのファイルとdirがossecユーザーによって所有されていることを確認したため、これは当てはまらないと思います。
私の研究では、問題の原因がルールファイルのエラーである場合があります。私の知る限り、私はルールファイルを持っていません。多分それが問題ですか?
また、インバウンドトラフィックとアウトバウンドトラフィックの両方に対してUDPポート514と1514を開きました。最初はこれを行うことを知りませんでしたが、ドキュメントを読むと、OSSECサーバーと通信するためにこれが必要だと思います。
どんな助けでも大歓迎です。
インストールプロセス中に、ディレクトリが正しく選択されなかったようです。キューソケットは通常、/var/ossec/queue/ossec/queue
にあります(/var
にインストールされている場合)。
もう1つの可能性は、ossec-analysisd
が実行されていないため、ソケットが正しく作成されていないことです。
デフォルトでは、ホスト拒否とファイアウォールドロップの応答を有効にできます。 1つ目は/etc/hosts.denyにホストを追加し、2つ目はiptables(linuxの場合)またはipfilter(Solaris、FreeBSD、またはNetBSDの場合)でホストをブロックします。
これらは、SSHDブルートフォーススキャン、ポートスキャン、およびその他の形式の攻撃を阻止するために使用できます。たとえば、それらを追加してsnortイベントをブロックすることもできます。
ファイアウォールドロップ応答を有効にしますか? (y/n)[y]:
このダイアログが表示されたら、nと入力します。ファイアウォールを有効にすることが、このエラーの根本的な原因です。サーバーとエージェントの両方からrm-rf/var/ossecを使用して古いインストールを削除し、再インストールします。
それが誰かを助けることを願っています