Installation von OSSEC unter Debian Etch

[sTaN]

Hallo,

bin durch diese Forum auf das host based intrusion detection system OSSEC gestoßen und nun auf der Suche nach der korrekten Installation, sowie Konfiguration.

Bisher bin ich auf ein HowTo unter Ubuntu gestoßen, welches ja relativ anpassbar an Debian ist.
Eine Frage dabei ist allerdings aufgetreten.
Installiere ich auf meinem VServer dieses Tool als server, agent oder local?
Wenn ich das richtig verstanden habe wird der Server installiert und bei weiteren Systemen die überwacht werden sollen der Agent, der dann selbige Einstellungen wie der Server hat und diese über eine sichere Verbindung abgerufen werden!?
Demzufolge ist local ausreichen für die Nutzung unter meinem VServer?

Grüße,
sTaN

 

[sTaN]

Okay Frage selbst beantwortet! Bei der Installation hat man die Möglichkeit "Hilfe" anzugeben und man bekommt die Erklärung der einzelnen Installationsmöglichkeiten:

1- Welche Art der Installation möchten Sie starten (server,agent,lokal oder hilfe)? hilfe

  - Es gibt drei Arten der Installation: agent, local oder server.

    - Wenn Sie Server wählen, können Logfiles analysiert werden,
      es werden Benachrichtigungen per E-Mail verschickt und es
      können Logs von Agenten auf entfernten Rechnern empfangen
      werden.

    - Wenn Sie Agent auswählen, können Logfiles ausgelesen werden
      (zb syslog, snort, apache) und verschlüsselt an einen
      Server zur analyse geschickt werden.

    - Wenn Sie local auswählen, können alle Funktionen eines
      Servers, bis auf den Empfang von Agentennachrichten ausge-
      führt werden.

  - Wählen Sie 'Server' wenn Sie Nachrichten von fremden Agenten
    empfangen und verarbeiten möchten.

  - Wählen Sie 'Agent' wenn Sie einen anderen Rechner haben, der
    als Server dient und an den die Logs zur Analyse geschickt
    werden (sinnvoll zb für Webserver, Datenbankserver usw).

  - Wählen Sie 'Local' wenn nur ein System analysiert werden soll.

  - weitere Informationen unter: http://www.ossec.net/en/manual.html#starting

 

[sTaN]

Konfiguration Email Alerts

Hallo,

leider muss ich diesen Thread noch einmal Missbrauchen.
Nachdem durchforsten der ossec.log erhalte ich folgende Fehlermeldung, welche sicherlich dazu führt, dass ich keine Log Mails erhalte.

2009/07/19 21:45:29 os_sendmail(1765): WARN: RCPT TO not accepted by server - 'hier@meinedomain.de'.
2009/07/19 21:45:29 ossec-maild(1223): ERROR: Error Sending email to hierstehtserverip (smtp server)

hier@meinedomain.de habe ich geändert, steht meine Mailadresse bei web.de drin.
hierstehtserverip ist die IP meines VServers.

Habe ich einfach nur falsche Angaben des SMTP Server in der ossec.conf gemacht oder weshalb diese Meldungen?

Grüße

 

[Mordor]

Wie sieht denn deine Konfiguration in der ossec.conf unter global aus?

Hast du einen lokalen smtp-Server am laufen, der auch E-Mails für die Mailadresse einsammeln darf?

Es liegt die Vermutung nahe, dass da was bei der Konfiguration nicht stimmt.

Gruß Mordor

 

[sTaN]

Ich denke auch das dort der Fehler liegt.
Ich habe bisher noch keinen Mailsserver weiter eingerichtet. Standardmäßig Debian bei Strato installiert und Plesk 9.2 am Laufen.
Natürlich Sicherheitsvorkehrungen etc.

Habe unter smtp-Server einfach mail.meinpaketbeistrator.de
und als Email_to eine Mail Adresse bei Web. Und als Mail from einfach ossec@meinpaketbeistrator.de angegeben.

Grüße

 

[sTaN]

Keiner eine Idee? Bzw. kann mir vielleicht mal jemand eine Beispielkonfiguration geben? Denke dann wird das Ganze auch klarer, was Mailversand angeht.

Grüße

P.S.: Die angegeben Emailadresse, war eine externe und muss wie Morder richtig beschrieben hat vom SMTP Server eingesammelt werden können.
Demzufolge kann mail.meinpaketbeistrato.de (SMTP-Server) nur Mails mit @domainbeistarto.de einsammeln.