Discussion :

[Hadock]

Bonjour après moulte tentative de configuration d'ossec j'ai toujours la même erreur lors de sont lancement :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

service ossec start

Ce qui me donne :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

Job for ossec.service failed because the control process exited with error code.

Donc je fait :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

systemctl status ossec.service

Ce qui me donne :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
 ossec.service - LSB: Start and stop OSSEC HIDS
   Loaded: loaded (/etc/init.d/ossec; generated; vendor preset: enabled)
   Active: failed (Result: exit-code) since Thu 2019-03-07 12:46:38 CET; 16s ago
     Docs: man:systemd-sysv-generator(8)
  Process: 5324 ExecStart=/etc/init.d/ossec start (code=exited, status=1/FAILURE)
 
Mar 07 12:46:17 vpsxxxxxx ossec[5324]: 2019/03/07 12:46:17 ossec-rootcheck(1210): ERROR: Queue '/var/ossec/queue/ossec/
queue' not accessible: 'Connection refused'.
Mar 07 12:46:25 vpsxxxxxx ossec[5324]: 2019/03/07 12:46:25 ossec-syscheckd(1210): ERROR: Queue '/var/ossec/queue/ossec/
queue' not accessible: 'Connection refused'.
Mar 07 12:46:25 vpsxxxxxx ossec[5324]: 2019/03/07 12:46:25 ossec-rootcheck(1210): ERROR: Queue '/var/ossec/queue/ossec/
queue' not accessible: 'Connection refused'.
Mar 07 12:46:38 vpsxxxxxx ossec[5324]: 2019/03/07 12:46:38 ossec-syscheckd(1210): ERROR: Queue '/var/ossec/queue/ossec/
queue' not accessible: 'Connection refused'.
Mar 07 12:46:38 vpsxxxxxx ossec[5324]: 2019/03/07 12:46:38 ossec-rootcheck(1211): ERROR: Unable to access queue: '/var/
ossec/queue/ossec/queue'. Giving up..
Mar 07 12:46:38 vpsxxxxxx ossec[5324]: ossec-syscheckd did not start
Mar 07 12:46:38 vpsxxxxxx systemd[1]: ossec.service: Control process exited, code=exited status=1
Mar 07 12:46:38 vpsxxxxxx systemd[1]: Failed to start LSB: Start and stop OSSEC HIDS.
Mar 07 12:46:38 vpsxxxxxx systemd[1]: ossec.service: Unit entered failed state.
Mar 07 12:46:38 vpsxxxxxx systemd[1]: ossec.service: Failed with result 'exit-code'.

J'ai regardé /var/ossec/queue/ossec/queue à les bon droit (rsw ossec:ossec)

Voici comment j'ai mis en place ossec :

j'ai ajouter ces deux règles à iptables :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
#OSSEC
-A INPUT -p udp --dport 1514 -j ACCEPT
-A INPUT -p udp --dport 514 -j ACCEPT

J'ai installé la clés :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

wget -qO - https://ossec.wazuh.com/repos/apt/conf/ossec-key.gpg.key | sudo apt-key add -

J'ai ajouté le répo :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

echo 'deb http://ossec.wazuh.com/repos/apt/debian wheezy main' >> /etc/apt/sources.list

J'ai installé le serveur et un agent :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

apt-get install ossec-hids

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

apt-get install ossec-hids-agent

Puis j'ai voulue lancer le serveur :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

/etc/init.d/ossec start

La il m'a dit que le fichier /var/ossec/etc/client.keys n'existé pas et que la connexion était refusé alors je l'ai crée et donné les bon droit.
J'ai entrée dedans la clés donné par :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

wget -qO - https://ossec.wazuh.com/repos/apt/conf/ossec-key.gpg.key

Et la j'ai eu l'erreur donné au début de ce post.

J'ai surement mal fait un truc donc je suis ouvert à toute proposition si vous avez une idée. Merci d'avance.

[Hadock]

Résolut la doc officiel ne fonctionne pas vraiment celle-ci oui :
http://www.ossec.net/downloads.html#...ntu-and-debian