我的任务是为我们的环境设置 OSSEC。我们在美国有 200 台 Windows 服务器需要监控。我在 ubuntu 机器上成功安装了服务器,作为测试,我在 Windows 机器上安装了代理。作为安装的一部分,我从 OSSEC 服务器创建了一个密钥,并在安装期间使用 msi 将其复制到代理。一些头撞后一切正常。
现在,我必须为 200 台服务器安装代理。作为安装的一部分,我是否必须通过每次访问 OSSEC 服务器为每 200 个代理生成一个唯一密钥?我当然希望不会(我眼里含着泪水)。有没有一种快速的方法来安装代理而无需从服务器中提取密钥?那些将帮助我安装代理的人无权访问 OSSEC 服务器。是否存在“生成的批量密钥”?提前致谢。
【问题讨论】:
标签: security monitoring ossec
我建议使用 ossec-authd https://www.ossec.net/docs/docs/manual/agent/agent-auth.html
在服务器上配置 authd 后,您可以通过 TCP 使用端口 1515(默认端口)来实现自动化。您还可以在 ossec 服务器上的 /var/ossec/etc 中创建一个名为“authd.pass”的文件。该文件需要包含 32 个字符的密码,然后您需要终止 ossec-authd pid 并重新启动它以反映更改。您可能还想将 -i 标志添加到 ossec-authd 以保留 IP 地址,而不是让它说“主机名 ossec-agent01 | IP:ANY”,它会说“主机名 ossec-agent01 | IP:192.168.1.10”例如。
使用带有密码的 authd,您可以使用 SCCM/ansible 之类的东西或您可以使用的任何其他东西,然后说“c:program filesossec-agentgent-auth.exe -m ossec_server_ip -p authd_port -P password”将每个服务器连接到ossec 服务器。
【讨论】: