Je me sent toujours bête lol
J'ai du "désactiver" mes règles iptables car sinon j'avais l'erreur suivante :
2014/09/09 16:50:42 ossec-syscheckd(1210): ERROR: Queue '/var/ossec/queue/ossec/queue' not accessible: 'Queue not found'.
2014/09/09 16:50:57 ossec-rootcheck(1210): ERROR: Queue '/var/ossec/queue/ossec/queue' not accessible: 'No such file or directory'.
2014/09/09 16:51:08 ossec-syscheckd(1210): ERROR: Queue '/var/ossec/queue/ossec/queue' not accessible: 'Queue not found'.
2014/09/09 16:51:23 ossec-rootcheck(1210): ERROR: Queue '/var/ossec/queue/ossec/queue' not accessible: 'No such file or directory'.
2014/09/09 16:51:39 ossec-syscheckd(1210): ERROR: Queue '/var/ossec/queue/ossec/queue' not accessible: 'Queue not found'.
2014/09/09 16:51:54 ossec-rootcheck(1211): ERROR: Unable to access queue: '/var/ossec/queue/ossec/queue'. Giving up..
Voici les différentes règles :
http://pastebin.com/SJVwz3zZ
C'est des règles qui viennent de différents tutoriels, j'ai essayé d'adapter en fonction de mes besoins.
Mais au vue de mon niveau, je ne vois pas ce qui bloque ossec.
Est-il toujours pertinent de mettre en place des règles iptables, si ossec est installé?
J'ai supprimé les règles et Ossec à bien démarré et il est bien dans les agents.
sudo service ossec restart
Deleting PID file '/var/ossec/var/run/ossec-logcollector-20454.pid' not used...
ossec-monitord not running ..
ossec-logcollector not running ..
ossec-remoted not running ..
ossec-syscheckd not running ..
ossec-analysisd not running ..
Killing ossec-maild ..
Killing ossec-execd ..
OSSEC HIDS v2.8 Stopped
Starting OSSEC HIDS v2.8 (by Trend Micro Inc.)...
Started ossec-maild...
Started ossec-execd...
Started ossec-analysisd...
Started ossec-logcollector...
Started ossec-remoted...
Started ossec-syscheckd...
Started ossec-monitord...
Completed.
NB : je ne sais pas si ceci est normal : "Deleting PID file '/var/ossec/var/run/ossec-logcollector-20454.pid' not used..."
J'ai rajouté interface web ossec et quand je me rends sur ossec.domain.tld j'ai ceci "Unable to access ossec directory. "
Voici les commandes effectuées :
EDIT :
J'ai aussi une autre erreur, j'ai reçu ça par mail :
OSSEC HIDS Notification.
2014 Sep 09 21:14:00
Received From: hostname->/var/log/messages
Rule: 1002 fired (level 2) -> "Unknown problem somewhere in the system."
Portion of the log(s):
Sep 9 21:14:00 hostname prelude-lml: WARNING: no appropriate format defined for log entry: '2014/09/09 21:14:00 [error] 20693#0: *1908 FastCGI sent in stderr: "PHP message: PHP Warning: opendir(/var/ossec): failed to open dir: Permission denied in /var/www/ossec/lib/os_lib_handle.php on line 94" while reading response header from upstream, client: MON_IP, server: ossec.domain.tld, request: "GET /index.php HTTP/1.1", upstream: "fastcgi://unix:/var/run/php5-fpm.sock:", host: "ossec.domain.tld"'.
--END OF NOTIFICATION
On peut voir à la ligne 94 " if($dh = opendir($dir))".
Voici le contenu du fichier : http://pastebin.com/7ppcYz9g
Donc, si je comprend bien, il ne parvient pas à ouvrir le dossier "/var/ossec" ?
Voici les droits pour le dossier /var/ossec
dr-xr-x--- 13 root ossec 4096 sept. 7 06:20 ossec
ls -l /var/ossec
dr-xr-x--- 3 root ossec 4096 sept. 7 06:20 active-response
dr-xr-x--- 2 root ossec 4096 sept. 7 06:20 agentless
dr-xr-x--- 2 root ossec 4096 sept. 7 06:20 bin
dr-xr-x--- 3 root ossec 4096 sept. 7 06:20 etc
drwxr-x--- 5 ossec ossec 4096 sept. 7 06:20 logs
dr-xr-x--- 11 root ossec 4096 sept. 7 06:20 queue
dr-xr-x--- 4 root ossec 4096 sept. 7 06:20 rules
drwxr-x--- 5 ossec ossec 4096 sept. 9 16:52 stats
drwxrwx--- 2 root www-data 4096 sept. 7 06:20 tmp
dr-xr-x--- 3 root ossec 4096 sept. 9 19:03 var
Si j'ai bien suivi, le dossier /var/ossec est accessible en lecture et il est exécutable pour root, le groupe et les autres.
Il faut lui appliquer quels droits?