在第三章主机安全中,介绍了OSSEC 的使用方法,但当时Agent 使用的是3.2.0版本,在测试Agent 为3.6.0版本时发现无法注册的问题:使用Server生成的key注册时会出现下图错误:
提示:ERROR: Cannot,unlink /queue/rids/sender: No such file or directory 。
解决方法也很简单,使用如下命令:
touch /var/ossec/queue/rids/sender
即,在OSSEC 安装目录下的qurue/rids目录下新建sender 文件即可。
这样 ,便可以让Agent注册成功(需要重启Agent 服务),如下图:
在Server端,使用agent_control -l 命令也可以看到客户端是Active状态,(一定要是Active,如果没成功,可能会显示Never connected之类的)如图:
。
也可以在Server端让客户端直接重启操作。(客户端需要开启ar-auto response 功能。这里再次建议这个功能一定要慎重使用,一定要配合白名单及绝对有把握的情况下使用)如图
Agent收到Server端的重启信号开始重启:
至此,便解决了 3.6.0版本Agent的问题。
PS:OSSEC 其实是一个比较不错的HIDS,不过因为是开源的版本,因此BUG,和坑也是很多的,坑在本书中已经介绍过一些了,BUG 也是经常有的。但个人觉得更难的是日常维护及批量部署,因此个人建议一定要有一定的开发能力,使用批量部署工具,否则会是一个比较繁重的工作。
