解决OSSEC Agent 3.6.0 无法注册问题

预览

  在第三章主机安全中，介绍了OSSEC 的使用方法，但当时Agent 使用的是3.2.0版本，在测试Agent 为3.6.0版本时发现无法注册的问题：使用Server生成的key注册时会出现下图错误：

提示：ERROR: Cannot,unlink /queue/rids/sender: No such file or directory 。

解决方法也很简单，使用如下命令：

touch /var/ossec/queue/rids/sender

即，在OSSEC 安装目录下的qurue/rids目录下新建sender 文件即可。

这样 ，便可以让Agent注册成功（需要重启Agent 服务），如下图：

在Server端，使用agent_control -l 命令也可以看到客户端是Active状态，（一定要是Active，如果没成功，可能会显示Never connected之类的）如图：

。

也可以在Server端让客户端直接重启操作。（客户端需要开启ar-auto  response 功能。这里再次建议这个功能一定要慎重使用，一定要配合白名单及绝对有把握的情况下使用）如图

Agent收到Server端的重启信号开始重启：

至此，便解决了 3.6.0版本Agent的问题。

PS：OSSEC 其实是一个比较不错的HIDS，不过因为是开源的版本，因此BUG,和坑也是很多的，坑在本书中已经介绍过一些了，BUG 也是经常有的。但个人觉得更难的是日常维护及批量部署，因此个人建议一定要有一定的开发能力，使用批量部署工具，否则会是一个比较繁重的工作。