Lo he instalado nxlogpara enviar mis registros a un servidor Graylog. Funciona bien, pero se me ha denegado el permiso en los registros de mi HIDS Ossec.
Mi proceso nxlog(iniciado por el colector-sidecar) se ejecuta como root:
# ps -ef | grep collector
root 1869 1 0 13:23 ? 00:00:03 /usr/bin/graylog-collector-sidecar
root 1905 1869 0 13:23 ? 00:00:29 /usr/bin/nxlog -f -c /etc/graylog/collector-sidecar/generated/nxlog.conf
En el nxlog.conf, tengo:
User root
Group adm
Los derechos sobre los registros OSSEC son los siguientes ( ossec:ossecpara /var/ossec/logs):
# namei -l /var/ossec/logs/active-responses.log
f: /var/ossec/logs/active-responses.log
drwxr-xr-x root root /
drwxr-xr-x root root var
dr-xr-x--- root ossec ossec
drwxr-x--- ossec ossec logs
-rw-r--r-- root ossec active-responses.log
Entonces, el usuario ossecy los miembros del grupo OSSECpueden leer este archivo (creo).
Agregué la raíz al grupo ossec:
# id
uid=0(root) gid=0(root) groupes=0(root),1005(ossec)
Probé reiniciando mi servidor pero leí en los registros de nxlog:
ERROR apr_stat failed on file /var/ossec/logs/active-responses.log;Permission denied
Cuando accedí al rootdirectorio /var/ossec/logspara tener:
# namei -l /var/ossec/logs/active-responses.log
f: /var/ossec/logs/active-responses.log
drwxr-xr-x root root /
drwxr-xr-x root root var
dr-xr-x--- root ossec ossec
drwxr-x--- root ossec logs
-rw-r--r-- root ossec active-responses.log
Entonces, ¿por qué cuando ingreso rootal ossecgrupo, mi nxlogproceso no puede leer este archivo?
Respuesta1
¿Puedes intentar eliminarlo User rootde tu nxlog.conf? Seguirá funcionando como root. Es cierto que hubo un error con esto en el CE.