Учетные записи пользователей OSSEC отключены

Question

Учетные записи пользователей OSSEC отключены

Я недавно установил OSSEC (2.8.1), и во время установки я заметил, что он создал несколько дополнительных учетных записей пользователей. Но при просмотре этих учетных записей в моем System Settings > User Accounts Настройки Я заметил, что все эти учетные записи, созданные OSSEC, отключены, я должен включить? Если нет, что они делают, если они инвалиды, и какова цель их наличия?

Вот как называются созданные им новые учетные записи пользователей (все они - стандартные учетные записи пользователей):

ossecr
ossecm
ossec

Информация об ОС:

Description:    Ubuntu 14.10
Release:    14.10

1

security users user-management ossec

Источник

04 апр '15 в 17:48

1 ответ

Решение

Другие вопросы по тегам security users user-management ossec

Rinzwind 04 апр '15 в 18:09 2015-04-04 18:09 · Accepted Answer · 2015-04-04 18:09

Эти пользователи являются пользователями, созданными для OSSEC, и вы не должны их менять. Они отключены, потому что вам не нужно их видеть и не нужно их использовать. Очень просто: это программное обеспечение блокирует этих пользователей, поэтому обычный пользователь не может связываться с ними. Если кто-то знает ваш пароль администратора и получает доступ, у вас все равно есть серьезные проблемы, и обычный пользователь не может изменить настройки этих пользователей. Таким образом, целостность проверок, которые OSSEC хочет выполнить, может быть гарантирована.

Makefile имеет множество настроек, которые включают пользователей, которых вы упоминаете, и несколько групп. По умолчанию это:

User settings:
OSSEC_GROUP:     ossec
OSSEC_USER:      ossec
OSSEC_USER_MAIL: ossecm
OSSEC_USER_REM:  ossecr

Если вы посмотрите на демона, он объясняет части пользователей:

OSSEC-agentd

ossec-agentd - это клиентский демон, который связывается с сервером. Он работает как ossec и по умолчанию привязан к /var/ossec.

Основной момент здесь - "chrooted": чтобы кто-то не связался с пользователем ossec и не смог обойти проверки, которые OSSEC хочет выполнить, он по умолчанию отключен.

То же самое относится и к ossecm:

OSSEC-MailD
Демон ossec-maild отправляет оповещения OSSEC по электронной почте. ossec-maild запускается с помощью ossec-control. Конфигурация для ossec-maild обрабатывается в файле ossec.conf. (см. ossec.conf: Глобальные параметры)

Пользователем по умолчанию для проверки почты является ossecm.

То же самое относится к ossecr:

OSSEC-удаленный вызов
ossec-remoted - это серверный демон, который связывается с агентами. Он может прослушивать порт 1514 / udp (для связи OSSEC) и / или 514 (для системного журнала). Он работает как ossecr и по умолчанию привязан к /var/ossec. ossec-remoted настраивается в разделе ossec.conf. (см. ossec.conf: Параметры удаленного доступа)

Их документация довольно приличная. Посмотрите руководство, FAQ и поваренные книги пользователя.

В общем: я бы взял программное обеспечение для сканирования рут-комплектов и обнаружения вторжений как есть. Эти программные средства должны быть максимально привязаны к безопасности.