В статье Установка и настройка OSSEC-HIDS расписана базовая установка. Но есть некоторые ньюансы, о которых хотелось бы сказать. Максимальное число агентов, поддерживаемое сервером по умолчанию равно 256. О чем свидетельствует запись в журнале после его старта:
INFO: Maximum number of agents allowed: '256'.
Изменить это значение можно использовав перед запуском установочного скрипта, параметр “setmaxagents”.
$ cd src; make setmaxagents
Specify maximum number of agents: 4096
Maximum number of agents set to 4096
$ cd ..; sudo ./install.sh
Теперь максимальное количество агентов будет равно 4096. Но этот предел ограничен еще и настройками ОС, в частности количеством одновременно открытых файлов, по умолчанию в Linux это число равно 1024.
$ ulimit –a
open files (-n) 1024
При добавлении 1025 агента получим:
** ID '1025' already present. They must be unique.
Изменим число:
$ sudo ulimit –n 4096
Или
$ sudo sysctl -w kern.maxfiles=4096
После чего следует перезапустить OSSIM.
Присутствие компилятора на сервере не желательно, поэтому разработчики предусмотрели возможность бинарной установки. Для этого вначале на другой системе следует собрать OSSIM (результат будет сохранен в подкаталоге bin), затем перенести исходные тексты на сервер. Теперь в файле etc/preloaded-vars.conf снимаем комментарий со строки:
USER_BINARYINSTALL="x"
И запускаем установку обычным образом.