Infomation

OSSEC (Open Soure HIDS SECurity) Agent 관리 (manage_agent)

DarkSoul.Story 2016. 5. 18. 20:44
반응형


Step.


1. OSSEC 서버에서 manage_agent

   1) manage_agent 실행/메뉴 화면

   2) Add an agent

   3) Extracting the key for an agent

   4) List already added agent

   5) Remove an agent

2. OSSEC Agent에서 manage_agent



1. OSSEC 서버에서 manage_agent


OSSEC 서버에서 manage_agent는 아래와 메뉴를 제공한다.


- Add an Agent

Extracting the key for an agent

- List already added agent

- Remove an agent


1) manage_agent 실행/메뉴 화면


manage_agent는 root와 같이 적절한 권한이 있는 사용자로 실행해야 한다. 


/var/ossec/bin/# ./manage_agents


manage_agent를 실행 시키면 아래와 같은 메뉴 화면을 볼수 있다.



2) Add an agent 


Add an agent 메뉴는 OSSEC 서버에 Agent를 추가할 때 사용하는 메뉴로 Choose your action란에 A를 입력 하면 사용할 수 있다. 

A를 입력하면 아래와 같이 새로운 Agent 이름을 지정하도록 요구한다. Agent 이름은 호스트 네임 또는 시스템을 식별하기 위한 문자열을 지정할 수 있다. 여기서는 Agent 이름을 agent_1로 지정 한다.



Agent 이름이 지정 하면, 다음으로 Agent IP를 지정한다. Agent IP는 단일 IP (xxx.xxx.xxx.xxx), IP 범위 (xxx.xxx.xxx.0/24) 또는 any로 지정 할 수 있다. IP범위 또는 any로 지정하는 경우 Agent가 설치되어 있는 시스템의 IP가 자주 변경되는 경우 (DHCP)에 설정하는것이 좋다.  단일 IP 주소를 사용하는 경우는 IP는 고유한다. 중복 IP 주소는 문제의 원인이 된다. 



마지막으로 Agent에 할당되는 ID를 지정한다. 여기서 manage_agent는 Agent ID값을 제안한다. Agent ID 값은 이미 다른 Agent에 할당되지 않는 ID값이어야 하며, ID값 000은 OSSEC 서버에 하당되어 있어 사용할 수 없다. manage_agent에서 제안한 Agent ID값을 그대로 사용 하려면, 그냥 Enter를 누르면된다. 다른 값을 선택하려면 ID 값을 입력 후 Enter를 누른다. 



Agent ID값을 지정하면, 아래와 같이 지금까지 설정한 정보를 보여주면서 추가할것인지 묻는다. Y를 입력하면 Agent가 추가된다. 



3) Extracting the key for an agent 


Add an agent 메뉴에서 Agent가 추가하면, 키가 생성된다. 생성되는 키는 Agent에 복사해야 한다. Agent에 복사할 키는 Extracting the key for an agent 메뉴를 이용해서 추출한다. manage_agent 메인 메뉴에서 e 또는 E를 입력하여 Extracting the key for an agent 메뉴로 진입한다. Extracting the key for an agent 메뉴에 진입하면 지금까지 추가한 Agent 목록을 출력해 준다. 



여기서 Agent 키를 추출하려면 Agent ID를 입력한다. 주의할 점은 Agent ID 의 모든 숫자를 입력해야 한다. 추출되는 키 값은 아래와 같이 복잡하게 되어 있어 Agent에 복사하기 위해 별도로 복사해두는것이 좋을것 같다. 키 값에는 인코딩 및 Agent에 대한 정보가 포함되어 있다.



4) List already added agent


List already added agent 메뉴는 현재 추가되어 있는 Agent 목록을 보여준다. 



5) Remove an agent


OSSEC 서버에서 Agent를 삭제해야할 경우  manage_agent 메인 메뉴에서 r 또는 R을 입력하여, Remove an agent 메뉴에 진입한다. Remove an agent 메뉴에 진입하면 이미 서버에 추가되어 있는 모든 Agent 목록을 제공한다. 



Agent를 제거하려면, Agent ID를 입력 후 Enter를 누른다. 여기서 주의할 점은 Agent ID의 모든 숫자를 입력해야 한다. Enter를 누르게 되면 마지막으로 정말 삭제할 것인지 확인한다.  



삭제된 Agent의 정보는 /var/ossec/etc/client.key에서 비활성화되며, Agnet ID와 키값은 Agent를 추가할 때 충돌을 피하기 위해 유지된다. 삭제된 Agent는 더이상 OSSEC 서버와 통신 할 수 없게된다. 



2. OSSEC Agent에서 manage_agent


OSSEC Agent에서 manage_agent는 Agent 키를 입력하기위한 메뉴를 제공한다. 



manage_agent 메인 메뉴에서 i 또는 I를 입력하면, 아래와 같이 키값을 입력하는 화면이 나타난다. 앞서 추출한 키값을 여기에 입력한다. 

키값을 입력한 후 Enter를 누르면 Agent 정보를 보여주면서 추가할 것인지 묻는다. y를 입력하면 추가가 된다. 


 

변경 사항을 적용하려면 OSSEC 서버와 Agent를 다시 시작해야 한다. 



반응형