禁用OSSEC用户帐户

Question

我最近安装了OSSEC (2.8.1)，在安装过程中我注意到它创建了一些额外的用户帐户。但是，当在我的System Settings > User Accounts设置中查看那些用户帐户时，我注意到所有由OSSEC创建的帐户都是禁用的，是否应该启用？如果没有，他们会做些什么，如果他们是残疾的，他们的目的是什么？

下面是它创建的新用户帐户的名称(它们都是标准用户帐户)：

• ossecr
• ossecm
• ossec

OS信息：

Description:    Ubuntu 14.10
Release:    14.10

Answer 1

这些用户是为OSSEC创建的用户，您不应该更改它们。它们是禁用的，因为您不需要看到它们，也不需要使用它们。非常简单:这个软件锁定了这些用户，这样普通的用户就不会和他们乱搞。如果有人知道您的管理密码，并获得访问，您一直处于深层次的问题，一个正常的用户不能改变这些用户的设置。因此，OSSEC想要执行的检查的完整性可以得到某种程度的保证。

makefile有很多设置，包括您提到的用户和几个组。默认情况是：

User settings:
OSSEC_GROUP:     ossec
OSSEC_USER:      ossec
OSSEC_USER_MAIL: ossecm
OSSEC_USER_REM:  ossecr

如果您查看守护进程，它解释了部分用户：

ossec-agentd ossec-agentd是与服务器通信的客户端守护进程。它作为ossec运行，默认为/var/ossec。

• 这里的要点是"chrooted"：为了防止有人干扰ossec用户，并且能够绕过OSSEC想要执行的检查，OSSEC在默认情况下是禁用的。

ossecm也是如此：

ossec-maild -maild守护进程通过电子邮件发送OSSEC警报。ossec-maild由ossec控制启动。ossec-maild的配置在ossec.conf中处理。(见ossec.conf:全局选项)

• 用于邮件检查的默认用户是ossecm。

ossecr也是如此：

远程操作系统是与代理进行通信的服务器端守护进程。它可以监听端口1514/udp (用于OSSEC通信)和/或514 (用于syslog)。它作为ossecr运行，默认为/var/ossec。在ossec.conf的部分中配置了ossec-remoted。(请参阅ossec.conf: Remote选项)

他们的文件相当不错。查看一下手册、常见问题和用户烹饪书。

一般情况下:我会采取软件扫描根包和入侵检测的现状。这些软件应该有尽可能多的安全约束。