Esta vez vamos a ver como instalar un agente de ossim en un Linux, ya que no hace despliegue automatico desde la consola como en los Windows. Para ello describiré los pasos a seguir.
Bajamos los paquetes rpm de la web de ossec desde este enlace,y los instalamos en el sistema, en mi caso un centos asi que voy a usar yum.
yum -y install ossec-hids-2.9.2-2082.el7.art.x86_64.rpm ossec-hids-agent-2.9.2-2082.el7.art.x86_64.rpm
Editamos el fichero de configuración del agente.
vim /var/ossec/etc/ossec.conf
Modificamos la ip en el campo servidor indicándole la dirección de nuestro servidor ossim
<client> <server-ip>10.66.6.211</server-ip> </client>
Una vez el cliente instalado necesitamos una clave preparada desde el servidor que nos proporciona ya la configuración preparada para el agente. Para ello abriremos el servidor.
Abriremos la sección deployment y nos vamos a detecction.
Seleccionamos la pestaña agent
Y añadiremos un nuevo agente con el botón Add agent
Indicaremos la IP del host Linux que estamos dando de alta como agente
Y nos aparecerá en la lista como desconectado, pulsaremos sobre el icono de la llave para obtener la clave
Volvemos a la maquina Linux sonde vamos a usar el comando manage del agente para añadir la clave.
[root]# /var/ossec/bin/manage_agent **************************************** * OSSEC HIDS v2.9.2 Agent manager. * * The following options are available: * **************************************** (I)mport key from the server (I). (Q)uit. Choose your action: I or Q:
Pulsamos la I para añadir la clave
* Provide the Key generated by the server. * The best approach is to cut and paste it. *** OBS: Do not include spaces or new lines. Paste it here (or '\q' to quit): xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx
Pegamos la clave
Agent information: ID:13 Name:Host-192-168.xxx.xxx IP Address:192.168.xxx.xxx Confirm adding it?(y/n): y Added.
Confirmamos y salimos
Por ultimo nos queda iniciar el agente y añadirlo como servicio en el inicio
systemctl start ossec-hids systemctl enable ossec-hids
Verificaremos que el agente está conectado en el servidor de ossim.
Como se puede ver es un poco laborioso pero nada complicado