Rutas y ficheros de configuración en AlienVault USM – OSSIM

Resumen de rutas y ficheros de configuración en OSSIM y AlienVault USM

0

En esta entrada iremos haciendo un resumen de las rutas, los directorios y la localización de los ficheros de configuración relevantes o a tener en cuenta en OSSIM y en AlienVault USM.

  • Directorios:

    • Perfil sensor

      • Ruta a ficheros de plugins – /etc/ossim/agent/plugins/
      • /usr/share/ossim/scripts/
      • Directorio de configuraciones curtom para rsyslog – /etc/rsyslog.d/ (cada vez que arranca rsyslog se leen todos los .conf de este directorio)
      • Directorio de almacenamiento de bases de datos de eventos almacenados en cache por el agente /var/ossim/agent_events/ contiene ficheros .db en los que se almacena la cache de eventos en caso de que el sensor no pueda conectar con el server al que se los ha de enviar.
    • Perfil server
      • (versión AlienVault USM) Ruta a almacen de logs – /var/ossim/logs/
      • Ruta server OSSEC – /var/ossec/
      • Ruta base de datos – /var/lib/mysql/
      • Ruta a directivas de correlación de usuario – /etc/ossim/server/context-hash/ (desde la versión 4.2 en adelante)
      • Ruta a almacen de report custom – /usr/share/ossim/www/tmp/
      • /usr/share/ossim/scripts/
      • Ruta a todos los ficheros sql de cada uno de los plugins que contienen los plugin_sids /usr/share/doc/ossim-mysql/contrib/plugins/
      • Ruta a los
    Más >
otrs logo

[otrs] – Backend de autenticación de agentes por LDAP

0

La configuración de OTRS para que use un servidor LDAP como backend de autenticación de agentes, por ejemplo OpenLDAP, Active Directory, etc para la versión 3.3.4 aun es necesario hacerla modificando código, concretamente en el fichero /opt/otrs/Kernel/Config/Defaults.pm (en caso de haber seguido el manual de instalación de OTRS from source para Linux).

Antes de llevar a cabo la modificación es necesario tener instalado el módulo Net::LDAP de Perl, podemos comprobar los módulos Perl instalados usando el script otrs.CheckModules.pl:

hnoguera:~# cd /opt/otrs/bin/ linux:/opt/otrs/bin# ./otrs.CheckModules.pl o Crypt::Eksblowfish::Bcrypt.......Not installed! (optional - For strong password hashing.) o Crypt::SSLeay....................Not installed! (optional - Required for Generic Interface SOAP SSL connections.) o Date::Format.....................ok (v2.24) o DBI..............................ok (v1.622) o DBD::mysql.......................ok (v4.021) o DBD::ODBC........................Not installed! (optional - Required to connect to a MS-SQL database.) o DBD::Oracle......................Not installed! (optional - Required to connect to a Oracle database.) o Más >
Rutas y ficheros de configuración en AlienVault USM – OSSIM

Actualización de la plataforma AlienVault USM – OSSIM

0

Para proceder con la actualización de la plataforma AlienVault USM – OSSIM se sugiere seguir los siguientes pasos:

  • Entender bien lo que hay que hacer antes de proceder. Sigue leyendo.

  • Hacer un backup de cada equipo de la plataforma AlienVault USM – OSSIM.

  • Proteger los plugins personalizados o que hayamos modificado. Desde versión 4.4 de AlienVault USM – OSSIM la actualización ya no mata los plugins personalizados almacenados como .local en el directorio /etc/ossim/agent/plugins/, así que lo mejor, si aún no lo haces, es copiar los plugins que tienes en uso con el mismo nombre y añadiendo .local (quedando por ejemplo apache.cfg.local). A partir de ahora lo mejor es editar estos .local para hacer modificaciones y dejar intactos los originales ya que en cada actualización se sobrescribirán.

  • Proteger los plugin sids personalizados. La versión 4.4 aun sigue aniquilando los sids personalizados, estos se almacenan en la base de datos y son machacados en cada actualización. Para evitarlo lo mejor es acostumbrarse a crear nuevos plugin sids desde un fichero sql (los originales están en el directorio /usr/share/doc/ossim-mysql/contrib/plugins/ comprimidos o almacenados como .sql) y

    Más >
otrs logo

[otrs] – Scheduler is not running (Debian)

0

Si instalas OTRS en Debian usando este manual de instalación de OTRS en Linux, el paso final es el de añadir el script del programador de OTRS (OTRS Scheduler) a /etc/init.d para que se ponga en marcha de forma ordenada en cada arranque o reinicio de sistema. El problema es que con la configuración por defecto tanto de Debian como del script (que está en scripts/otrs-scheduler-linux) no llega a arrancarse al iniciar el sistema, esto lo vemos con un usuario administrador en la interfaz gráfica mediante el mensaje “Scheduler is not running” o también en los logs de error de arranque del Scheduler OTRS “DBD::mysql::st execute failed: MySQL server has gone away“:

Podemos hacer clic en el mensaje y nos da la opción de forzar su arranque: Por otro lado, si miramos los logs de error generados en los intentos de arranque del Scheduler del OTRS veremos algo como esto:

root@OTRS-ITSM:~# ls -lh /opt/otrs/var/log/SchedulerERR* -rw-rw-rw- 1 www-data www-data 3,9K feb 12 20:52 /opt/otrs/var/log/SchedulerERR-1392234981.log -rw-rw-rw- 1 www-data www-data 3,9K feb 12 21:15 /opt/otrs/var/log/SchedulerERR-1392241808.log -rw-rw-rw- 1 www-data www-data 3,9K feb 13 00:00 Más >
Brico: Conectar mando del parking con temporizador en luces largas de una Husqvarna Nuda 900

Brico: Conectar mando del parking con temporizador en luces largas de una Husqvarna Nuda 900

0

Una de las modificaciones mas necesarias a nivel práctico para una moto es, en mi opinión, la de conectar el mando del parking a las luz de largo alcance o a las ráfagas y así, con solo pulsar el botón de ráfagas podemos abrir la puerta del parking sin necesidad de parar, quitarnos el guante, buscar el mando en el bolsillo y abrir la puerta. Además nos olvidamos de la pila ya que alimentaremos el circuito del mando directamente con los 12V de la batería de la moto.

El problema en este punto es que cuando circulemos con las largas el mando estaría funcionando continuamente con lo que limitamos inútilmente la vida operativa del mando, para solucionar esto, a finales de 2011 diseñé un sencillo circuito temporizador para alimentar el mando solo una vez durante un instante cuando llega alimentación de la luz de largo alcance de la moto, con lo que no se queda funcionando siempre que la larga esté encendida. Éste es el post en el que explico el procedimiento para integrar ese simple circuito al mando del parking antes de instalarlo en la moto y como hacer la instalación del mando del parking en las luces largas de una Husqvarna SM610. La adaptación a otras motos debería de ser sencilla, Más >

chattr - archivos inmutables

Solución a E212: Can’t open file for writing – un poco de cultura de atributos linux y comando chattr

0

Tratas de editar un archivo como root y no te deja? “W10: Warning: Changing a readonly file”, “E212: Can’t open file for writing”, pero si soy root!! que pasa? pues que puede que tenga atributos asignados mediante “chattr”. Compruébalo con:

# lsattr filename ----i-------- filename

y te dirá si se han seteado alguno de sus atributos, cada fichero en Linux tiene una serie de atributos asociados a el, inmutable en este caso ejemplo, que hace al fichero inmutable ante cambios o eliminaciones desde cualquier usuario. Para modificarlo hay que hacerlo mediante:

# chattr -i filename

Que pone en bit inmutable de los atributos de filename a 0. Para activar alguno de ellos sería de la forma:

# chattr +c filename

En este caso activa el bit compress, que activa la compresión automática en disco por el kernel, una lectura del fichero devuelve los datos descomprimidos y una escritura en el fichero comprime los datos antes de almacenarlos en disco, y así algunos mas que pueden ser convenientes en algún caso como el atributo append (+a) para permitir únicamente añadir texto pero no modificar el existente. Mas info man chattr

Fuentes:

backup

Script de backup plataforma AlienVault USM-OSSIM

0

En esta entrada el compañero Ferran libera un script de backup para la plataforma AlienVault USM y OSSIM. El uso es bien sencillo, lo descargamos en un directorio local:

avlogger:~/ossim-backup# wget http://fompi.net/wp-content/uploads/2013/10/backup-ossim.sh --2013-12-16 14:15:24-- http://fompi.net/wp-content/uploads/2013/10/backup-ossim.sh Connecting to 10.42.1.17:8080... connected. Proxy request sent, awaiting response... 200 OK Length: 3496 (3.4K) [text/x-sh] Saving to: `backup-ossim.sh' 100%[======================================================================================================] 3,496 --.-K/s in 0.001s 2013-12-16 14:15:26 (4.60 MB/s) - `backup-ossim.sh' saved [3496/3496]

Le asignamos permisos de ejecución:

avlogger:~/ossim-backup# chmod u+x backup-ossim.sh

Y lo ejecutamos para ver su funcionamiento y uso:

avlogger:~/ossim-backup# ./backup-ossim.sh Usage: backup-ossim.sh [-d] [-f] [-c] [-D] -d Backup Database -f Backup /var files -c Backup config files -D Delete existing backups

Nos da opción de hacer backup de base de datos (útil para logger, Más >

ossim-setup

Evitar ossim-setup al conectar por SSH a una máquina AlienVault OSSIM

0

Desde la versión 4 de AlienVault OSSIM cada vez que accedemos por SSH a una máquina de la infraestructura directamente nos lanza el menu ossim-setup, desde donde podemos configurar bastantes cosas de la máquina, pero no todas y siempre necesitamos terminar accediendo al sistema para configurar algo, bien sea un plugin o cualquier otro tema cotidiano. Para eso se dispone de la opción “Jailbreak this appliance” del menú, pero cuando accedemos a diario se vuelve un engorro tener que hacer esto.

Evitar menú ossim-setup al lanzar una sesion ssh contra una máquina de AlienVault OSSIM

Desde que decidieron cambiar esto, otra funcionalidad que dejó de estar activa es el acceso por WinSCP desde máquinas windows. Para desactivarlo ingresar el comando:

avsiem:~# usermod -s /bin/bash root

Y cuando sea necesario acceder al menú solo hay que lanzar como siempre un:

avsiem:~# ossim-setup

The Gaslamp Killer

The Gaslamp Killer – In The Dark (Official Video)

0

Pon el video en pantalla completa, calidad HD y ponte unos buenos cascos… Personalmente lo he disfrutado ya unas decenas de veces, pero sigue poniéndome los pelos de punta. Aquí os dejo el Video Oficial, cargado de simbolismo, del tema In the dark que cierra el, por ahora, último y excelente trabajo de 17 temas BREAKTHROUGH del complejo e inclasificable “The Gaslamp Killer“. Reseñable también el trabajo en el video: Director: Hyperballad Producer: Filip Čermák Dp: Tomas Jelinek Editor: Jarrett Fijal Compositing & additional fx: Mo Stoebe 3D FX: Charles De Meyer Wardrobe: Lenka Kovaříková

William Benjamin Bensussen, mejor conocido por su nombre de guerra The Gaslamp Killer (GLK), es un productor de hip hop y DJ experimental con sede en Los Ángeles. Firmó con el sello Brainfeeder y ha producido temas de artistas como Flying Lotus o Gonjasufi. Hace unos meses pasó una temporada en el hospital, concretamente en julio de éste 2013, por un accidente en moto que pudo haberle costado la vida. Esto le ha apartado obligatoriamente de las drogas y el alcohol y le ha llevado a decir textualmente que “es hora de buscar dentro de mi alma y ver que sale”. Personalmente estoy ansioso de Más >

http://saghul.net/blog/wp-content/uploads/2007/08/python.png

regexp.py corregido por fompi.net para OSSIM y AlienVault USM

0

Un aporte muy interesante de Ferran para OSSIM y AlienVault USM es su versión corregida de regexp.py.

Para los que no lo sepan regexp.py es un script de OSSIM y AlienVault USM que se ubica en /usr/share/ossim/scripts/regexp.py y trata de ser una útil herramienta para ayudar a los técnicos en la ardua tarea de creación de plugins para OSSIM, mas bien trata de ser útil para la parte de testing de nuevos plugins. regexp.py es un script que lee un fichero de logs y lo evalúa contra una expresión regular concreta o un fichero de plugin que contenga varias expresiones regulares con las que han de matchear los eventos que se encuentran en el fichero de logs y nos dice el resultado, de forma que sabremos si nuestras expresiones regulares son correctas o no. Y digo que “regexp.py trata de ser una útil herramienta” básicamente porque no funciona bien y sus errores (los mismos desde el origen de los tiempos…) lo hacen inservible, estos son los errores que nosotros hemos detectado en el script regexp.py:

  • No respeta el orden de las expresiones regulares contenidas dentro del fichero de plugin que usemos.
  • El modificador “y” (show non matching lines) no funciona.
  • No funciona el uso de los Más >
Ir arriba