Учетные записи пользователей OSSEC отключены

Question 1

Я недавно установил OSSEC (2.8.1), и во время установки я заметил, что он создал несколько дополнительных учетных записей пользователей. Но при просмотре этих учетных записей в моих настройках System Settings > User Accounts я заметил, что все эти учетные записи, созданные OSSEC, отключены, следует ли мне их включить? Если нет, что они делают, если они отключены, и какова цель их наличия?

Вот как называются созданные им новые учетные записи пользователей (все они являются учетными записями стандартных пользователей):

ossecr
ossecm
ossec

Информация об ОС:

Description:    Ubuntu 14.10
Release:    14.10

Question 2

Те пользователи являются пользователями, созданными для OSSEC, и Вы не должны изменять их. Они отключены, потому что Вы не должны видеть их и не должны использовать их. Очень простой: это программные блокировки вниз эти пользователи так обычный пользователь не может смешать с ними. Если кто-то знает Ваш пароль администратора и получает доступ, Вы находитесь в сложных проблемах anyeways, и обычный пользователь не может изменить эти пользовательские настройки. Таким образом, целостность проверок, которые OSSEC хочет выполнить, может быть видом гарантируемых.

make-файл имеет много настроек, которые включают пользователей, которых Вы упоминаете и несколько групп. Значение по умолчанию:

User settings:
OSSEC_GROUP:     ossec
OSSEC_USER:      ossec
OSSEC_USER_MAIL: ossecm
OSSEC_USER_REM:  ossecr

, Если Вы смотрите демон , это объясняет части пользователей:

ossec-agentd

ossec-agentd является клиентским демоном, который связывается с сервером. Это работает как ossec и является chrooted к/var/ossec по умолчанию.

Основной момент здесь является "chrooted": для предотвращения кого-то смешивающего с ossec пользователем и способностью обойти проверки, OSSEC хочет работать, это отключено по умолчанию.

То же запрашивает ossecm:

ossec-maild

ossec-maild демон отправляет предупреждения OSSEC по электронной почте. ossec-maild запускается ossec-управлением. Конфигурация для ossec-maild обрабатывается в ossec.conf. (см. ossec.conf: Глобальные опции)

пользователь по умолчанию, используемый для почтовых проверок, является ossecm.

То же запрашивает ossecr:

ossec-удаленный

ossec-удаленный серверный демон, который связывается с агентами. Это может слушать порт, 1514/udp (для связи OSSEC) и/или 514 (для системного журнала). Это работает как ossecr и является chrooted к/var/ossec по умолчанию. ossec-удаленный настроен в разделе ossec.conf. (см. ossec.conf: Удаленные Опции)

Их документация довольно достойна. Взгляните на руководство , FAQ и пользователь поваренные книги .

В целом: Я взял бы программное обеспечение для сканирования для корневых наборов и обнаружения проникновения, как. Этим частям программного обеспечения нужно связать безопасность как можно больше.

Rinzwind · Accepted Answer · 4 April 2015 в 20:48

Те пользователи являются пользователями, созданными для OSSEC, и Вы не должны изменять их. Они отключены, потому что Вы не должны видеть их и не должны использовать их. Очень простой: это программные блокировки вниз эти пользователи так обычный пользователь не может смешать с ними. Если кто-то знает Ваш пароль администратора и получает доступ, Вы находитесь в сложных проблемах anyeways, и обычный пользователь не может изменить эти пользовательские настройки. Таким образом, целостность проверок, которые OSSEC хочет выполнить, может быть видом гарантируемых.