
Lo he instalado nxlog
para enviar mis registros a un servidor Graylog. Funciona bien, pero se me ha denegado el permiso en los registros de mi HIDS Ossec.
Mi proceso nxlog
(iniciado por el colector-sidecar) se ejecuta como root:
# ps -ef | grep collector
root 1869 1 0 13:23 ? 00:00:03 /usr/bin/graylog-collector-sidecar
root 1905 1869 0 13:23 ? 00:00:29 /usr/bin/nxlog -f -c /etc/graylog/collector-sidecar/generated/nxlog.conf
En el nxlog.conf
, tengo:
User root
Group adm
Los derechos sobre los registros OSSEC son los siguientes ( ossec:ossec
para /var/ossec/logs
):
# namei -l /var/ossec/logs/active-responses.log
f: /var/ossec/logs/active-responses.log
drwxr-xr-x root root /
drwxr-xr-x root root var
dr-xr-x--- root ossec ossec
drwxr-x--- ossec ossec logs
-rw-r--r-- root ossec active-responses.log
Entonces, el usuario ossec
y los miembros del grupo OSSEC
pueden leer este archivo (creo).
Agregué la raíz al grupo ossec:
# id
uid=0(root) gid=0(root) groupes=0(root),1005(ossec)
Probé reiniciando mi servidor pero leí en los registros de nxlog:
ERROR apr_stat failed on file /var/ossec/logs/active-responses.log;Permission denied
Cuando accedí al root
directorio /var/ossec/logs
para tener:
# namei -l /var/ossec/logs/active-responses.log
f: /var/ossec/logs/active-responses.log
drwxr-xr-x root root /
drwxr-xr-x root root var
dr-xr-x--- root ossec ossec
drwxr-x--- root ossec logs
-rw-r--r-- root ossec active-responses.log
Entonces, ¿por qué cuando ingreso root
al ossec
grupo, mi nxlog
proceso no puede leer este archivo?
Respuesta1
¿Puedes intentar eliminarlo User root
de tu nxlog.conf
? Seguirá funcionando como root
. Es cierto que hubo un error con esto en el CE.