OSSEC não será iniciado, Erro: fila não acessível

1

Estou tentando configurar o OSSEC em um servidor CemtOS 6.5. Isso deve ser instalado como um agente, não como um servidor ou uma instância local. O pacote foi instalado com sucesso e criei o arquivo clients.key, mas quando tento iniciar o daemon, recebo o erro

error: queue not accessible (/var/ossec/etc/queue/ossec) connection refused

O arquivo de log não é de nenhuma ajuda. Eu nunca trabalhei com o OSSEC e infelizmente a documentação parece fraca.

Depois de pesquisar isso um pouco, a maioria das pessoas com esse problema tem algumas permissões configuradas incorretamente. Eu não acho que isso seja o caso para mim, porque eu fiz tudo na estrutura de diretórios do OSSEC e certifiquei-me de que todos os arquivos e pastas fossem de propriedade do usuário ossec.

Na minha pesquisa, algumas vezes o problema é causado por erros no arquivo de regras. Pelo que sei, não tenho um arquivo de regras. Talvez seja esse o problema?

Também abri as portas UDP 514 e 1514 para tráfego de entrada e saída. Eu não sabia fazer isso no começo, mas ao ler a documentação eu acho que isso é necessário para se comunicar com o servidor OSSEC.

Qualquer ajuda é muito apreciada.

    
por Liam 08.08.2014 / 01:38

2 respostas

1

Parece que durante o processo de instalação, o diretório foi escolhido incorretamente. O soquete da fila geralmente está localizado em /var/ossec/queue/ossec/queue (se instalado em /var ).

Outra possibilidade é que o ossec-analysisd não esteja em execução e, portanto, o soquete não seja criado corretamente.

Fontes: link

    
por 23.04.2015 / 12:32
0
  • Por padrão, podemos ativar a negação de host e a  respostas de queda de firewall. O primeiro irá adicionar  um host para o /etc/hosts.deny e o segundo  irá bloquear o host no iptables (se linux) ou em  ipfilter (se Solaris, FreeBSD ou NetBSD).

    • Eles podem ser usados para parar as digitalizações de força bruta do SSHD, Portscans e algumas outras formas de ataques. Você pode também adicione-os para bloquear os eventos do snort, por exemplo.

    • Deseja ativar a resposta de queda de firewall? (y / n) [y]:

Quando esta caixa de diálogo aparecer, digite n. A ativação do firewall é a causa raiz desse erro. Removida a instalação antiga com rm -rf / var / ossec do servidor e dos agentes & reinstalar.

Espero que ajude alguém

    
por 22.05.2017 / 14:07