ossim5.4 部署agent

oss进入linux系统底层

用SSH登录后,进入系AlienVault Setup菜单,选择 Jailbreak this Appliance即可使用Root权限进入后台

deploy agent
部署agent,我接触到的有两种方式,一个是在get started的时候配置被扫描主机的ip 用户名,密码。我找了一台用用户名密码登录的机器配上去了一步步到finished之后进入管理界面。在environment->detection的时候没有看到配置的机器,只有ossim本身的状态。这出现了两个问题:一是是不是部署agent必须要有用户名密码,而密钥登录不行。二是,部署agent是有主机权限以后由server端发起吗。然后就开始谷歌找方案,emmm。。。还有ytb的视频也看了几个,但是因为版本原因,视频教学里面的文件我的环境没有。后来我综合了一下看过的文档和视频,尝试做了操作。。。在做完操作要放弃的时候。。。我看到机器的agent状态变成active了。。。可喜可贺可歌可泣啊
以下是环境和步骤
环境:
ossim 版本

Alienvault OSSIM Server Version : 5.4.0.free.commit:(1:5.4.0-47)
(c) 2007-2013 AlienVault

Alt text

被扫描主机

os:centos
身份验证方式:密钥登陆

部署agent步骤:
1.添加被扫描机器
管理界面 environment–>Assets & Groups–>add assets 由于我只是测试一台机器,我直接选了host,填ip 选os类型,确定添加.添加完成就会出现图4中soc2那样的。我添加的是test,由于截图的时候已经部署成功了,soc2我还没上去部署agent,所以如果你添加的时候以图4的test的操作系统为准。

Alt text

Alt text

Alt text

Alt text

2.生成agent
跟着图1到添加agent界面,跳出来的界面如图2,在图2中选择要部署agent的机器,然后save,出现图3的processing,processing完成管理界面会有一条提示,如图4。注意了,其实这里并没有部署agent,只是生成agent的相关信息,比如agent的key,在图5的“action”里面点小钥匙可以看到。还有可能有在server端配置的改变。

Alt text
图1

Alt text
图2

Alt text
图3

Alt text
图4

Alt text
图5

3.部署agent
登录到被扫描的机器上执行下面的操作

yum install ossec-hids-client
cd /var/ossec/etc
vim ossec.conf

ossec.conf中把your-ossim-host-ip改成你的ossim的ip,保存退出。

<client>
<server-ip>your-ossim-host-ip</server-ip>
</client>

添加agent的key

cd /var/ossec/bin
./manage_agent

出现图1的截图,选择I,出现图2,返回web管理界面步骤2中生成的agent对应的小钥匙,点一下,它的key出现在页面下方,复制下来,粘贴进图2的提示中。

Alt text
图1

Alt text
图2

4.启动agent
执行下面两个命令启动agent

/etc/init.d/ossec-hids start
chkconfig ossec-hids on

查看agent启动情况

tail -f /var/ossec/logs/ossec.log

日志出现connected to server you-ossim-host-ip,post 1514这时候就成功部署agent了,当然我下面的日志截图还有一些干扰信息,因为这是我试错到成功的日志的截图。可以忽略。 注意一下啊,这里connected之后,web界面的状态不会马上更新的,要稍等几分钟的,刷新页面也木有用,经验之谈啊! 接下来就等数据刷新,在web页面看扫描结果啦~ossim的agent部署就到这里~使用的文章以后再更~

Alt text

3 Comments

Add a Comment

电子邮件地址不会被公开。 必填项已用*标注