La grande versatilità di OSSEC consente il deploying di massa su un certo numero di server, con l’utilizzo dell’installazione automatica.Nell’esempio che andremo ad esaminare vedremo l’aspetto teorico di un deploying automatico per un’installazione di tipo agent.Dopo aver estratto l’archivio del codice sorgente di OSSEC è possibile notare all’interno della directory etc/ la presenza di un file denominato preloaded-vars.conf che contiene un elenco di variabili destinate ad accogliere una serie di valori che verrano utilizzati dall’installer di OSSEC in modalità automatica.Modificando come indicato nel seguente esempio il file preloaded-vars.conf è possibile impostare dei valori che verrano riconosciuti in modo automatico dall’installer, al lancio di ./install.sh
vim etc/preloaded-vars.conf
USER_LANGUAGE="it" USER_NO_STOP="s" USER_INSTALL_TYPE="agent" USER_DIR="/var/ossec" USER_ENABLE_ACTIVE_RESPONSE="s" USER_ENABLE_SYSCHECK="s" USER_ENABLE_ROOTCHECK="s" USER_AGENT_SERVER_IP="xx.xx.xx.xx" USER_ENABLE_EMAIL="s" USER_EMAIL_ADDRESS="info@theadmin.org" USER_EMAIL_SMTP="127.0.0.1" USER_ENABLE_SYSLOG="n" USER_ENABLE_FIREWALL_RESPONSE="y"
in particolare, il valore USER_INSTALL_TYPE definisce il tipo di installazione che dovrà essere utilizzata per OSSEC, ovvero server o agent; il valore USER_AGENT_SERVER_IP imposta l’ip del server OSSEC delegato al controllo dei vari agent.I restanti valori consentono di impostare l’indirizzo email dell’amministratore che riceverà gli eventuali alert prodotti da OSSEC, l’ip del server mail utilizzato per lo smistamento della posta ed ulteriori direttive che consentono di decidere quali controlli attivare.
L’articolo ricade nell’argomento automazioni, già affrontato su questo blog.Per ulteriori dettagli sulla procedura di installazione per OSSEC si rimanda alla documentazione ufficiale del progetto.Si è parlato di OSSEC anche in uno dei nostri precedenti articoli.
