web-dev-qa-db-fra.com

Comptes d'utilisateurs OSSEC désactivés

J'ai récemment installé OSSEC (2.8.1), et lors de l'installation, j'ai remarqué qu'il créait des comptes utilisateurs supplémentaires. Mais lorsque vous consultez ces comptes d'utilisateur dans mon System Settings > User Accounts paramètres J'ai remarqué que tous ces comptes créés par OSSEC sont désactivés, dois-je les activer? Sinon, que font-ils s'ils sont handicapés, et quel serait le but de les avoir?

Voici comment s'appellent les nouveaux comptes d'utilisateurs qu'il a créés (ce sont tous des comptes d'utilisateurs standard):

  • ossecr

  • ossecm

  • ossec

Informations sur le système d'exploitation: 

Description:    Ubuntu 14.10
Release:    14.10
securityusersuser-managementossec
1
user364819

Ces utilisateurs sont des utilisateurs créés pour OSSEC et vous ne devez pas les modifier. Ils sont désactivés car vous n'avez pas besoin de les voir et vous n'avez pas besoin de les utiliser. Très simple: ce logiciel verrouille ces utilisateurs afin qu'un utilisateur normal ne puisse pas jouer avec eux. Si quelqu'un connaît votre mot de passe administrateur et y accède, vous rencontrez de toute façon de gros problèmes et un utilisateur normal ne peut pas modifier ces paramètres d'utilisateurs. Ainsi, l'intégrité des contrôles que OSSEC veut effectuer peut être garantie en quelque sorte.

makefile a beaucoup de paramètres qui incluent les utilisateurs que vous mentionnez et quelques groupes. La valeur par défaut est:

User settings:
OSSEC_GROUP:     ossec
OSSEC_USER:      ossec
OSSEC_USER_MAIL: ossecm
OSSEC_USER_REM:  ossecr

Si vous regardez le démon il explique certaines parties des utilisateurs:

ossec-agentd

ossec-agentd est le démon côté client qui communique avec le serveur. Il fonctionne comme ossec et est chrooté par défaut/var/ossec.

  • Le point principal ici est "chrooté": pour empêcher quelqu'un de jouer avec l'utilisateur ossec et de pouvoir contourner les contrôles que OSSEC veut effectuer, il est désactivé par défaut.

Il en va de même pour l'ossecm:

ossec-maild

Le démon ossec-maild envoie des alertes OSSEC par e-mail. ossec-maild est démarré par ossec-control. La configuration d'ossec-maild est gérée dans le fichier ossec.conf. (voir ossec.conf: options globales)

  • L'utilisateur par défaut utilisé pour les vérifications de courrier est ossecm.

Il en va de même pour ossecr:

déporté ossec

ossec-remoted est le démon côté serveur qui communique avec les agents. Il peut écouter le port 1514/udp (pour les communications OSSEC) et/ou 514 (pour syslog). Il fonctionne comme ossecr et est chrooté par défaut/var/ossec. ossec-remoted est configuré dans la section ossec.conf. (voir ossec.conf: Options distantes)

Leur documentation est assez décente. Jetez un œil aux manuel , FAQ et à l'utilisateur livres de cuisine .

En général: je prendrais un logiciel pour rechercher les kits racine et la détection des intrusions tels quels. Ces logiciels devraient avoir la sécurité attachée autant que possible.

3
Rinzwind