Instalar agente ossim en Linux

Esta vez vamos a ver como instalar un agente de ossim en un Linux, ya que no hace despliegue automatico desde la consola como en los Windows. Para ello describiré los pasos a seguir.

Bajamos los paquetes rpm de la web de ossec desde este enlace,y los instalamos en el sistema, en mi caso un centos asi que voy a usar yum.

yum -y install ossec-hids-2.9.2-2082.el7.art.x86_64.rpm ossec-hids-agent-2.9.2-2082.el7.art.x86_64.rpm

Editamos el fichero de configuración del agente.

vim /var/ossec/etc/ossec.conf

Modificamos la ip en el campo servidor indicándole la dirección de nuestro servidor ossim

<client>

    <server-ip>10.66.6.211</server-ip>

</client>

 

Una vez el cliente instalado necesitamos una clave preparada desde el servidor que nos proporciona  ya la configuración preparada para el agente. Para ello abriremos el servidor.

Abriremos la sección deployment y nos vamos a detecction.

Seleccionamos la pestaña agent

Y añadiremos un nuevo agente con el botón Add agent

Indicaremos la IP del host Linux que estamos dando de alta como agente

Y nos aparecerá en la lista como desconectado, pulsaremos sobre el icono de la llave para obtener la clave

Volvemos a la maquina Linux sonde vamos a usar el comando manage del agente para añadir la clave.

[root]# /var/ossec/bin/manage_agent
****************************************
* OSSEC HIDS v2.9.2 Agent manager.     *
* The following options are available: *
****************************************
   (I)mport key from the server (I).
   (Q)uit.
Choose your action: I or Q:

Pulsamos la I para añadir la clave

* Provide the Key generated by the server.
* The best approach is to cut and paste it.
*** OBS: Do not include spaces or new lines.

Paste it here (or '\q' to quit): xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx

Pegamos la clave

Agent information:
   ID:13
   Name:Host-192-168.xxx.xxx
   IP Address:192.168.xxx.xxx

Confirm adding it?(y/n): y
Added.

Confirmamos y salimos

Por ultimo nos queda iniciar el agente y añadirlo como servicio en el inicio

systemctl start ossec-hids
systemctl enable ossec-hids

Verificaremos que el agente está conectado en el servidor de ossim.

Como se puede ver es un poco laborioso pero nada complicado

Deja un comentario

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.