我正在尝试在 CemtOS 6.5 服务器上设置 OSSEC。这将作为代理安装,而不是服务器或本地实例。软件包已成功安装,我创建了 clients.key 文件,但当我尝试启动守护程序时,我收到错误
error: queue not accessible (/var/ossec/etc/queue/ossec) connection refused
日志文件毫无帮助。我从未使用过 OSSEC,不幸的是,文档似乎很薄弱。
在谷歌上搜索了一会儿后,发现大多数遇到此问题的人都设置了一些错误的权限。但我不认为我的情况如此,因为我将 OSSEC 目录结构中的所有内容都设置为 777,并确保所有文件和目录都归 ossec 用户所有。
在我的研究中,有时问题是由规则文件中的错误引起的。据我所知,我没有规则文件。也许这就是问题所在?
我还为入站和出站流量打开了 UDP 端口 514 和 1514。起初我并不知道要这样做,但在阅读文档后,我认为这对于与 OSSEC 服务器进行通信是必要的。
任何帮助是极大的赞赏。
答案1
默认情况下,我们可以启用 host-deny 和 firewall-drop 响应。第一个会将主机添加到 /etc/hosts.deny,第二个会在 iptables(如果是 Linux)或 ipfilter(如果是 Solaris、FreeBSD 或 NetBSD)上阻止主机。
它们可用于阻止 SSHD 暴力扫描、端口扫描和其他形式的攻击。例如,您还可以添加它们来阻止 snort 事件。
您是否要启用防火墙丢弃响应? (y/n) [y]:
出现此对话框时,请输入 n 。启用防火墙是导致此错误的根本原因。使用 rm -rf /var/ossec 从服务器和代理中删除旧安装并重新安装。
希望它能帮助别人
答案2
看来是在安装过程中,目录选择错误。队列套接字通常位于/var/ossec/queue/ossec/queue(如果安装在/var)。
另一种可能性是,没有ossec-analysisd运行,因此套接字没有正确创建。