Bonjour après moulte tentative de configuration d'ossec j'ai toujours la même erreur lors de sont lancement :
Ce qui me donne :
Job for ossec.service failed because the control process exited with error code.
Donc je fait :
systemctl status ossec.service
Ce qui me donne :
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21
| ossec.service - LSB: Start and stop OSSEC HIDS
Loaded: loaded (/etc/init.d/ossec; generated; vendor preset: enabled)
Active: failed (Result: exit-code) since Thu 2019-03-07 12:46:38 CET; 16s ago
Docs: man:systemd-sysv-generator(8)
Process: 5324 ExecStart=/etc/init.d/ossec start (code=exited, status=1/FAILURE)
Mar 07 12:46:17 vpsxxxxxx ossec[5324]: 2019/03/07 12:46:17 ossec-rootcheck(1210): ERROR: Queue '/var/ossec/queue/ossec/
queue' not accessible: 'Connection refused'.
Mar 07 12:46:25 vpsxxxxxx ossec[5324]: 2019/03/07 12:46:25 ossec-syscheckd(1210): ERROR: Queue '/var/ossec/queue/ossec/
queue' not accessible: 'Connection refused'.
Mar 07 12:46:25 vpsxxxxxx ossec[5324]: 2019/03/07 12:46:25 ossec-rootcheck(1210): ERROR: Queue '/var/ossec/queue/ossec/
queue' not accessible: 'Connection refused'.
Mar 07 12:46:38 vpsxxxxxx ossec[5324]: 2019/03/07 12:46:38 ossec-syscheckd(1210): ERROR: Queue '/var/ossec/queue/ossec/
queue' not accessible: 'Connection refused'.
Mar 07 12:46:38 vpsxxxxxx ossec[5324]: 2019/03/07 12:46:38 ossec-rootcheck(1211): ERROR: Unable to access queue: '/var/
ossec/queue/ossec/queue'. Giving up..
Mar 07 12:46:38 vpsxxxxxx ossec[5324]: ossec-syscheckd did not start
Mar 07 12:46:38 vpsxxxxxx systemd[1]: ossec.service: Control process exited, code=exited status=1
Mar 07 12:46:38 vpsxxxxxx systemd[1]: Failed to start LSB: Start and stop OSSEC HIDS.
Mar 07 12:46:38 vpsxxxxxx systemd[1]: ossec.service: Unit entered failed state.
Mar 07 12:46:38 vpsxxxxxx systemd[1]: ossec.service: Failed with result 'exit-code'. |
J'ai regardé /var/ossec/queue/ossec/queue à les bon droit (rsw ossec:ossec)
Voici comment j'ai mis en place ossec :
j'ai ajouter ces deux règles à iptables :
1 2 3
| #OSSEC
-A INPUT -p udp --dport 1514 -j ACCEPT
-A INPUT -p udp --dport 514 -j ACCEPT |
J'ai installé la clés :
wget -qO - https://ossec.wazuh.com/repos/apt/conf/ossec-key.gpg.key | sudo apt-key add -
J'ai ajouté le répo :
echo 'deb http://ossec.wazuh.com/repos/apt/debian wheezy main' >> /etc/apt/sources.list
J'ai installé le serveur et un agent :
apt-get install ossec-hids
apt-get install ossec-hids-agent
Puis j'ai voulue lancer le serveur :
La il m'a dit que le fichier /var/ossec/etc/client.keys n'existé pas et que la connexion était refusé alors je l'ai crée et donné les bon droit.
J'ai entrée dedans la clés donné par :
wget -qO - https://ossec.wazuh.com/repos/apt/conf/ossec-key.gpg.key
Et la j'ai eu l'erreur donné au début de ce post.
J'ai surement mal fait un truc donc je suis ouvert à toute proposition si vous avez une idée. Merci d'avance.
Partager