OSSEC 서버에 Agent를 추가 하기위해 Agent키를 입력해야 한다. 하지만 Agent키가 복잡하면서 길기 때문에 키를 입력 하는 도중 오타가 발생할 수 있다. 그래서 OSSEC에서는 ossec-authd와 agent-auth를 이용해서 자동화된 방법으로 agent를 추가 할 수 있도록 제공하고 있다. 참고로 Windows Agent 에서는 해당 기능을 제공하지 않는다.
OSSEC 서버에서 ossec-authd를 실행 시킨다.
/var/ossec/bin# ./ossec-authd -p 1515
ossec-authd가 실행되면, 1515 포트로 오픈 후 agent-auth 연결하기 전까지 대기하고있다. 처음 ossec-authd를 실행 하면 아래와 같이 OpenSSL 에러 메시지를 확인 할 수 있다. 해당 메시지는 /var/ossec/etc/ 폴더에 SSL 인증서인 sslmanager.cert파일이 없기 때문이다.
그럼 SSL에 대한 인증서와 개인키를 생성해 보자.
# openssl genrsa -out /var/ossec/etc/sslmanager.key 2048
# openssl req -new -x509 -key /var/ossec/etc/sslmanager.key -out /var/ossec/etc/sslmanager.cert -days 365
SSL에 대한 인증서와 키가 만들어 졌다. 다시 한번 ossec-authd를 실행 시키면 1515 포트를 열고 대기하는것을 확인 할 수 있다.
OSSEC 서버에서 ossec-authd가 포트를 열고 대기 하고 있으면, 이제는 Agent에서 agent-auth를 실행 시킨다. 여기서 IP는 OSSEC 서버 IP 이다.
agent-auth가 실행되면 OSSEC 서버에서 대기하고 있던 ossec-authd와 연결되면서 Agent 키를 교환한다.
/var/ossec/bin# agent-auth -m 192.168.1.160 -p 1515
OSSEC 서버에서는 아래와 같은 로그를 확인 할 수있다.
OSSEC 서버에서 해당 Agent가 정상적으로 추가되었는지 manage_agents를 이용해서 확인해보면, 아래와 같이 IP가 any로 등록되어 있는것을 확인 할 수 있다.
any는 모든 IP 주소의 연결을 허용한다는 뜻이다.
any로 되어 있으면, 아래와 같이 Web UI에서도 서버의 IP 대신 any로 되어 있어 한눈에 서버를 바로 확인 할 수 없는것이 단점이라고 생각된다.
'Infomation' 카테고리의 다른 글
| 도커(Docker) 살펴보기 (0) | 2016.06.05 |
|---|---|
| OSSEC (Open Soure HIDS SECurity)와 MySQL 연동 - 출력 데이터 보내기 (0) | 2016.05.20 |
| OSSEC (Open Soure HIDS SECurity) Windows Agent install (0) | 2016.05.19 |
| OSSEC (Open Soure HIDS SECurity) Agent 관리 (manage_agent) (0) | 2016.05.18 |
| OSSEC (Open Soure HIDS SECurity) Web User Interface Install (0) | 2016.05.18 |