cristgl commented 5 years ago

Installation test

Version	Revision	Branch
x.y.z	rev	branch

RPM (Linux)

[x] Successful installation
[x] Check version
[x] Check ruleset version
[x] Service is running after installation
[x] Service status
[x] Running processes
[x] No errors in ossec.log
[ ] CentOS5
[ ] Check uninstall (services / files / users)
[ ] /opt

DEB (Linux)

[x] Successful installation
[ ] Check version
[x] Check ruleset version
[x] Service is running after installation
[x] Service status
[x] Running processes
[ ] Check apt-get remove
[x] Check apt-get purge
[ ] Check uninstall (services / files / users)
[x] No errors in ossec.log

Mac OS X

[x] Successful installation
[x] Check version

Solaris (Intel)

[x] Successful installation
[x] Check version

Solaris (SPARC)

[x] Successful installation
[x] Check version

(HP-UX)

[x] Successful installation
[x] Check version

AIX

[ ] Successful installation
[x] Check version

Sources

[x] Successful installation
[x] Check version
[x] Check ruleset version
[x] Service is running after installation
[x] Service status
[x] Running processes
[x] No errors in ossec.log

Lopuiz commented 5 years ago

DEB package

OS: Ubuntu 19.04 (GNU/Linux 5.0.0-25-generic x86_64)

It doesn't remove SCA policies and Rootcheck policies. It happens when remove Wazuh using apt remove wazuh-agent/wazuh-manager.

Wazuh manager:

root@lopezziur:/var/ossec# tree /var/ossec/
/var/ossec/
├── backup
│   └── agents
│       └── 2019
│           └── Aug
│               └── 30
│                   └── 001-agent-10.0.0.5
├── etc
│   ├── client.keys.save
│   ├── decoders
│   │   └── local_decoder.xml.save
│   ├── lists
│   │   ├── amazon
│   │   │   ├── aws-eventnames.cdb.save
│   │   │   ├── aws-eventnames.save
│   │   │   └── aws-sources.save
│   │   ├── audit-keys.cdb.save
│   │   ├── audit-keys.save
│   │   ├── security-eventchannel.cdb.save
│   │   └── security-eventchannel.save
│   ├── local_internal_options.conf.save
│   ├── ossec.conf.save
│   ├── rootcheck
│   │   ├── cis_apache2224_rcl.txt.save
│   │   ├── cis_debian_linux_rcl.txt.save
│   │   ├── cis_mysql5-6_community_rcl.txt.save
│   │   ├── cis_mysql5-6_enterprise_rcl.txt.save
│   │   ├── cis_rhel5_linux_rcl.txt.save
│   │   ├── cis_rhel6_linux_rcl.txt.save
│   │   ├── cis_rhel7_linux_rcl.txt.save
│   │   ├── cis_rhel_linux_rcl.txt.save
│   │   ├── cis_sles11_linux_rcl.txt.save
│   │   ├── cis_sles12_linux_rcl.txt.save
│   │   ├── cis_win2012r2_domainL1_rcl.txt.save
│   │   ├── cis_win2012r2_domainL2_rcl.txt.save
│   │   ├── cis_win2012r2_memberL1_rcl.txt.save
│   │   ├── cis_win2012r2_memberL2_rcl.txt.save
│   │   ├── rootkit_files.txt.save
│   │   ├── rootkit_trojans.txt.save
│   │   ├── system_audit_rcl.txt.save
│   │   ├── system_audit_ssh.txt.save
│   │   ├── win_applications_rcl.txt.save
│   │   ├── win_audit_rcl.txt.save
│   │   └── win_malware_rcl.txt.save
│   ├── rules
│   │   └── local_rules.xml.save
│   ├── shared
│   │   ├── ar.conf.save
│   │   └── default
│   │       └── merged.mg.save
│   ├── sslmanager.cert.save
│   └── sslmanager.key.save
├── logs
│   ├── alerts
│   │   ├── 2019
│   │   │   └── Aug
│   │   │       ├── ossec-alerts-30.json
│   │   │       └── ossec-alerts-30.log
│   │   ├── alerts.json
│   │   └── alerts.log
│   ├── archives
│   │   ├── 2019
│   │   │   └── Aug
│   │   │       └── ossec-archive-30.log
│   │   └── archives.log
│   ├── cluster.log
│   ├── firewall
│   │   ├── 2019
│   │   │   └── Aug
│   │   │       └── ossec-firewall-30.log
│   │   └── firewall.log
│   └── ruleset.log
└── ruleset
    └── sca
        ├── cis_debian7_L1.yml.disabled
        ├── cis_debian7_L2.yml.disabled
        ├── cis_debian9_L1.yml
        └── cis_debian9_L2.yml

26 directories, 51 files
root@lopezziur:/var/ossec# ls /var/ossec/

Wazuh agent:

root@agent:~# tree /var/ossec/
/var/ossec/
├── etc
│   ├── client.keys.save
│   ├── local_internal_options.conf.save
│   ├── ossec.conf.save
│   └── shared
│       ├── agent.conf.save
│       ├── ar.conf.save
│       ├── cis_apache2224_rcl.txt.save
│       ├── cis_debian_linux_rcl.txt.save
│       ├── cis_mysql5-6_community_rcl.txt.save
│       ├── cis_mysql5-6_enterprise_rcl.txt.save
│       ├── cis_rhel5_linux_rcl.txt.save
│       ├── cis_rhel6_linux_rcl.txt.save
│       ├── cis_rhel7_linux_rcl.txt.save
│       ├── cis_rhel_linux_rcl.txt.save
│       ├── cis_sles11_linux_rcl.txt.save
│       ├── cis_sles12_linux_rcl.txt.save
│       ├── cis_win2012r2_domainL1_rcl.txt.save
│       ├── cis_win2012r2_domainL2_rcl.txt.save
│       ├── cis_win2012r2_memberL1_rcl.txt.save
│       ├── cis_win2012r2_memberL2_rcl.txt.save
│       ├── merged.mg.save
│       ├── rootkit_files.txt.save
│       ├── rootkit_trojans.txt.save
│       ├── system_audit_rcl.txt.save
│       ├── system_audit_ssh.txt.save
│       ├── win_applications_rcl.txt.save
│       ├── win_audit_rcl.txt.save
│       └── win_malware_rcl.txt.save
├── ruleset
│   └── sca
│       ├── cis_debian9_L1.yml
│       └── cis_debian9_L2.yml
└── var
    └── wodles
        └── syscollector

6 directories, 30 files

It doesn't remove Wazuh service It happens when remove Wazuh using apt remove wazuh-agent/wazuh-manager.

Wazuh manager:

root@agent:~# systemctl status wazuh-manager
● wazuh-manager.service - Wazuh manager
   Loaded: loaded (/etc/systemd/system/wazuh-manager.service; disabled; vendor preset: enabled)
   Active: inactive (dead)

Aug 30 10:10:45 agent env[4354]: Killing ossec-execd...
Aug 30 10:10:45 agent env[4354]: Killing wazuh-db...
Aug 30 10:10:46 agent env[4354]: Killing ossec-authd...
Aug 30 10:10:46 agent env[4354]: ossec-agentlessd not running...
Aug 30 10:10:46 agent env[4354]: ossec-integratord not running...
Aug 30 10:10:46 agent env[4354]: ossec-dbd not running...
Aug 30 10:10:46 agent env[4354]: ossec-csyslogd not running...
Aug 30 10:10:47 agent env[4354]: Wazuh v3.10.0 Stopped
Aug 30 10:10:47 agent systemd[1]: wazuh-manager.service: Succeeded.
Aug 30 10:10:47 agent systemd[1]: Stopped Wazuh manager.

Wazuh agent:

root@agent:~# systemctl status wazuh-agent
● wazuh-agent.service - Wazuh agent
   Loaded: loaded (/etc/systemd/system/wazuh-agent.service; disabled; vendor preset: enabled)
   Active: inactive (dead)

Aug 30 05:53:00 agent systemd[1]: Starting Wazuh agent...
Aug 30 05:53:00 agent env[789]: 2019/08/30 05:53:00 ossec-agentd: CRITICAL: (1751): File client.keys not f
Aug 30 05:53:00 agent env[789]: ossec-agentd: Configuration error. Exiting
Aug 30 05:53:01 agent systemd[1]: wazuh-agent.service: Control process exited, code=exited, status=1/FAILU
Aug 30 05:53:01 agent systemd[1]: wazuh-agent.service: Failed with result 'exit-code'.
Aug 30 05:53:01 agent systemd[1]: Failed to start Wazuh agent.

Regards, Eva

snaow commented 5 years ago

Ping @wazuh/cicd

Lopuiz commented 5 years ago

RPM packages

OS: CentOS 7

It doesn't remove files correctly.

Wazuh manager: Following file stay when I remove Wazuh:

[root@agent2 vagrant]# tree /var/ossec/
/var/ossec/
└── etc
    ├── ossec.conf.rpmsave
    ├── shared.save
    │   ├── ar.conf
    │   └── default
    │       └── merged.mg
    ├── sslmanager.cert.save
    └── sslmanager.key.save

3 directories, 5 files
[root@agent2 vagrant]#

Note: merged.mg

Following files stay if I update Ruleset and then I remove Wazuh:

[root@agent2 vagrant]# tree /var/ossec/
/var/ossec/
├── etc
│   ├── ossec.conf.rpmsave
│   ├── shared.save
│   │   ├── ar.conf
│   │   └── default
│   │       └── merged.mg
│   ├── sslmanager.cert.save
│   └── sslmanager.key.save
└── tmp
    └── ruleset
        └── downloads
            ├── ruleset.zip
            └── wazuh-ruleset
                ├── CHANGELOG.md
                ├── decoders
                │   ├── 0005-wazuh_decoders.xml
                │   ├── 0006-json_decoders.xml
                │   ├── 0010-active-response_decoders.xml
                │   ├── 0015-aix-ipsec_decoders.xml
                │   ├── 0025-apache_decoders.xml
                │   ├── 0030-arpwatch_decoders.xml
                │   ├── 0035-asterisk_decoders.xml
                │   ├── 0040-auditd_decoders.xml
                │   ├── 0045-barracuda_decoders.xml
                │   ├── 0050-checkpoint_decoders.xml
                │   ├── 0055-cimserver_decoders.xml
                │   ├── 0060-cisco-estreamer_decoders.xml
                │   ├── 0065-cisco-ios_decoders.xml
                │   ├── 0070-cisco-vpn_decoders.xml
                │   ├── 0075-clamav_decoders.xml
                │   ├── 0080-courier_decoders.xml
                │   ├── 0085-dovecot_decoders.xml
                │   ├── 0090-dragon-nids_decoders.xml
                │   ├── 0095-dropbear_decoders.xml
                │   ├── 0100-fortigate_decoders.xml
                │   ├── 0105-freeipa_decoders.xml
                │   ├── 0110-ftpd_decoders.xml
                │   ├── 0115-grandstream_decoders.xml
                │   ├── 0120-horde_decoders.xml
                │   ├── 0125-hp_decoders.xml
                │   ├── 0130-imapd_decoders.xml
                │   ├── 0135-imperva_decoders.xml
                │   ├── 0140-kernel_decoders.xml
                │   ├── 0145-mailscanner_decoders.xml
                │   ├── 0150-mysql_decoders.xml
                │   ├── 0155-named_decoders.xml
                │   ├── 0160-netscaler_decoders.xml
                │   ├── 0165-netscreen_decoders.xml
                │   ├── 0170-nginx_decoders.xml
                │   ├── 0175-ntpd_decoders.xml
                │   ├── 0180-openbsd_decoders.xml
                │   ├── 0185-openldap_decoders.xml
                │   ├── 0190-openvpn_decoders.xml
                │   ├── 0195-oscap_decoders.xml
                │   ├── 0200-ossec_decoders.xml
                │   ├── 0205-pam_decoders.xml
                │   ├── 0210-pix_decoders.xml
                │   ├── 0215-portsentry_decoders.xml
                │   ├── 0220-postfix_decoders.xml
                │   ├── 0225-postgresql_decoders.xml
                │   ├── 0230-proftpd_decoders.xml
                │   ├── 0235-puppet_decoders.xml
                │   ├── 0240-pure-ftpd_decoders.xml
                │   ├── 0245-racoon_decoders.xml
                │   ├── 0250-redis_decoders.xml
                │   ├── 0255-roundcube_decoders.xml
                │   ├── 0260-rsa-auth-manager_decoders.xml
                │   ├── 0265-rshd_decoders.xml
                │   ├── 0270-samba_decoders.xml
                │   ├── 0275-sendmail_decoders.xml
                │   ├── 0280-serv-u_decoders.xml
                │   ├── 0285-snort_decoders.xml
                │   ├── 0290-solaris_decoders.xml
                │   ├── 0295-sonicwall_decoders.xml
                │   ├── 0300-sophos_decoders.xml
                │   ├── 0305-squid_decoders.xml
                │   ├── 0310-ssh_decoders.xml
                │   ├── 0315-su_decoders.xml
                │   ├── 0320-sudo_decoders.xml
                │   ├── 0325-suhosin_decoders.xml
                │   ├── 0330-symantec_decoders.xml
                │   ├── 0335-telnet_decoders.xml
                │   ├── 0340-trend-osce_decoders.xml
                │   ├── 0345-unbound_decoders.xml
                │   ├── 0350-unix_decoders.xml
                │   ├── 0355-vm-pop3_decoders.xml
                │   ├── 0360-vmware_decoders.xml
                │   ├── 0365-vpopmail_decoders.xml
                │   ├── 0370-vsftpd_decoders.xml
                │   ├── 0375-web-accesslog_decoders.xml
                │   ├── 0378-mariadb_decoders.xml
                │   ├── 0379-dpkg_decoders.xml
                │   ├── 0380-windows_decoders.xml
                │   ├── 0385-wordpress_decoders.xml
                │   ├── 0390-zeus_decoders.xml
                │   ├── 0395-sqlserver_decoders.xml
                │   ├── 0400-identity_guard_decoders.xml
                │   ├── 0405-mongodb_decoders.xml
                │   ├── 0410-docker_decoders.xml
                │   ├── 0415-jenkins_decoders.xml
                │   ├── 0420-vshell_decoders.xml
                │   ├── 0425-qualysguard_decoders.xml
                │   ├── 0430-cylance_decoders.xml
                │   ├── 0435-owncloud_decoders.xml
                │   ├── 0440-proxmox-ve_decoders.xml
                │   ├── 0445-exim_decoders.xml
                │   ├── 0450-openvas_decoders.xml
                │   ├── 0455-pfsense_decoders.xml
                │   ├── 0460-kaspersky_decoders.xml
                │   └── 0465-azure_decoders.xml
                ├── lists
                │   ├── amazon
                │   │   ├── aws-eventnames
                │   │   └── aws-sources
                │   ├── audit-keys
                │   └── security-eventchannel
                ├── README.md
                ├── rootchecks
                │   ├── cis_apache2224_rcl.txt
                │   ├── cis_debian_linux_rcl.txt
                │   ├── cis_mysql5-6_community_rcl.txt
                │   ├── cis_mysql5-6_enterprise_rcl.txt
                │   ├── cis_rhel5_linux_rcl.txt
                │   ├── cis_rhel6_linux_rcl.txt
                │   ├── cis_rhel7_linux_rcl.txt
                │   ├── cis_rhel_linux_rcl.txt
                │   ├── cis_sles11_linux_rcl.txt
                │   ├── cis_sles12_linux_rcl.txt
                │   ├── cis_win2012r2_domainL1_rcl.txt
                │   ├── cis_win2012r2_domainL2_rcl.txt
                │   ├── cis_win2012r2_memberL1_rcl.txt
                │   ├── cis_win2012r2_memberL2_rcl.txt
                │   ├── rootkit_files.txt
                │   ├── rootkit_trojans.txt
                │   ├── system_audit_rcl.txt
                │   ├── system_audit_ssh.txt
                │   ├── win_applications_rcl.txt
                │   ├── win_audit_rcl.txt
                │   └── win_malware_rcl.txt
                ├── rules
                │   ├── 0010-rules_config.xml
                │   ├── 0015-ossec_rules.xml
                │   ├── 0016-wazuh_rules.xml
                │   ├── 0020-syslog_rules.xml
                │   ├── 0025-sendmail_rules.xml
                │   ├── 0030-postfix_rules.xml
                │   ├── 0035-spamd_rules.xml
                │   ├── 0040-imapd_rules.xml
                │   ├── 0045-mailscanner_rules.xml
                │   ├── 0050-ms-exchange_rules.xml
                │   ├── 0055-courier_rules.xml
                │   ├── 0060-firewall_rules.xml
                │   ├── 0065-pix_rules.xml
                │   ├── 0070-netscreenfw_rules.xml
                │   ├── 0075-cisco-ios_rules.xml
                │   ├── 0080-sonicwall_rules.xml
                │   ├── 0085-pam_rules.xml
                │   ├── 0090-telnetd_rules.xml
                │   ├── 0095-sshd_rules.xml
                │   ├── 0100-solaris_bsm_rules.xml
                │   ├── 0105-asterisk_rules.xml
                │   ├── 0110-ms_dhcp_rules.xml
                │   ├── 0115-arpwatch_rules.xml
                │   ├── 0120-symantec-av_rules.xml
                │   ├── 0125-symantec-ws_rules.xml
                │   ├── 0130-trend-osce_rules.xml
                │   ├── 0135-hordeimp_rules.xml
                │   ├── 0140-roundcube_rules.xml
                │   ├── 0145-wordpress_rules.xml
                │   ├── 0150-cimserver_rules.xml
                │   ├── 0155-dovecot_rules.xml
                │   ├── 0160-vmpop3d_rules.xml
                │   ├── 0165-vpopmail_rules.xml
                │   ├── 0170-ftpd_rules.xml
                │   ├── 0175-proftpd_rules.xml
                │   ├── 0180-pure-ftpd_rules.xml
                │   ├── 0185-vsftpd_rules.xml
                │   ├── 0190-ms_ftpd_rules.xml
                │   ├── 0195-named_rules.xml
                │   ├── 0200-smbd_rules.xml
                │   ├── 0205-racoon_rules.xml
                │   ├── 0210-vpn_concentrator_rules.xml
                │   ├── 0215-policy_rules.xml
                │   ├── 0220-msauth_rules.xml
                │   ├── 0225-mcafee_av_rules.xml
                │   ├── 0230-ms-se_rules.xml
                │   ├── 0235-vmware_rules.xml
                │   ├── 0240-ids_rules.xml
                │   ├── 0245-web_rules.xml
                │   ├── 0250-apache_rules.xml
                │   ├── 0255-zeus_rules.xml
                │   ├── 0260-nginx_rules.xml
                │   ├── 0265-php_rules.xml
                │   ├── 0270-web_appsec_rules.xml
                │   ├── 0275-squid_rules.xml
                │   ├── 0280-attack_rules.xml
                │   ├── 0285-systemd_rules.xml
                │   ├── 0290-firewalld_rules.xml
                │   ├── 0295-mysql_rules.xml
                │   ├── 0300-postgresql_rules.xml
                │   ├── 0305-dropbear_rules.xml
                │   ├── 0310-openbsd_rules.xml
                │   ├── 0315-apparmor_rules.xml
                │   ├── 0320-clam_av_rules.xml
                │   ├── 0325-opensmtpd_rules.xml
                │   ├── 0330-sysmon_rules.xml
                │   ├── 0335-unbound_rules.xml
                │   ├── 0340-puppet_rules.xml
                │   ├── 0345-netscaler_rules.xml
                │   ├── 0350-amazon_rules.xml
                │   ├── 0360-serv-u_rules.xml
                │   ├── 0365-auditd_rules.xml
                │   ├── 0375-usb_rules.xml
                │   ├── 0380-redis_rules.xml
                │   ├── 0385-oscap_rules.xml
                │   ├── 0390-fortigate_rules.xml
                │   ├── 0395-hp_rules.xml
                │   ├── 0400-openvpn_rules.xml
                │   ├── 0405-rsa-auth-manager_rules.xml
                │   ├── 0410-imperva_rules.xml
                │   ├── 0415-sophos_rules.xml
                │   ├── 0420-freeipa_rules.xml
                │   ├── 0425-cisco-estreamer_rules.xml
                │   ├── 0430-ms_wdefender_rules.xml
                │   ├── 0435-ms_logs_rules.xml
                │   ├── 0440-ms_sqlserver_rules.xml
                │   ├── 0445-identity_guard_rules.xml
                │   ├── 0450-mongodb_rules.xml
                │   ├── 0455-docker_rules.xml
                │   ├── 0460-jenkins_rules.xml
                │   ├── 0470-vshell_rules.xml
                │   ├── 0475-suricata_rules.xml
                │   ├── 0480-qualysguard_rules.xml
                │   ├── 0485-cylance_rules.xml
                │   ├── 0490-virustotal_rules.xml
                │   ├── 0495-proxmox-ve_rules.xml
                │   ├── 0500-owncloud_rules.xml
                │   ├── 0505-vuls_rules.xml
                │   ├── 0510-ciscat_rules.xml
                │   ├── 0515-exim_rules.xml
                │   ├── 0520-vulnerability-detector_rules.xml
                │   ├── 0525-openvas_rules.xml
                │   ├── 0530-mysql_audit_rules.xml
                │   ├── 0535-mariadb_rules.xml
                │   ├── 0540-pfsense_rules.xml
                │   ├── 0545-osquery_rules.xml
                │   ├── 0550-kaspersky_rules.xml
                │   ├── 0555-azure_rules.xml
                │   ├── 0560-docker_integration_rules.xml
                │   ├── 0565-ms_ipsec_rules.xml
                │   ├── 0570-sca_rules.xml
                │   ├── 0575-win-base_rules.xml
                │   ├── 0580-win-security_rules.xml
                │   ├── 0585-win-application_rules.xml
                │   ├── 0590-win-system_rules.xml
                │   ├── 0595-win-sysmon_rules.xml
                │   ├── 0600-win-wdefender_rules.xml
                │   ├── 0605-win-mcafee_rules.xml
                │   ├── 0610-win-ms_logs_rules.xml
                │   ├── 0615-win-ms-se_rules.xml
                │   ├── 0620-win-generic_rules.xml
                │   ├── log-entries
                │   │   ├── 101
                │   │   ├── 1101
                │   │   ├── 1301_1302_1303
                │   │   ├── 1401
                │   │   ├── 1402
                │   │   ├── 1602
                │   │   ├── 1603
                │   │   ├── 1607
                │   │   ├── 1609
                │   │   ├── 1901
                │   │   ├── 1902
                │   │   ├── 1903
                │   │   ├── 1905
                │   │   ├── 201
                │   │   ├── 202
                │   │   ├── 204
                │   │   ├── 2501
                │   │   ├── 2601
                │   │   ├── 301
                │   │   ├── 401
                │   │   ├── 403
                │   │   ├── 408
                │   │   ├── 409
                │   │   ├── access-control
                │   │   ├── apache-error.logs
                │   │   ├── ciscoios
                │   │   ├── cisco-ios-ids
                │   │   ├── ftpd
                │   │   ├── iis6
                │   │   ├── imapd
                │   │   ├── kernel
                │   │   ├── mail-alerts
                │   │   ├── mail-errors
                │   │   ├── ns1
                │   │   ├── postfix.ini
                │   │   ├── proftpd
                │   │   ├── smbd
                │   │   ├── spamd
                │   │   ├── sshd
                │   │   ├── symantecws
                │   │   ├── telnetd
                │   │   ├── unkown
                │   │   ├── vpn.log
                │   │   ├── vpopmail
                │   │   ├── worms
                │   │   └── xferlog
                │   └── translated
                │       └── pure_ftpd
                │           ├── pure-ftpd_rules_da.xml
                │           ├── pure-ftpd_rules_de.xml
                │           ├── pure-ftpd_rules_en.xml
                │           ├── pure-ftpd_rules_es.xml
                │           ├── pure-ftpd_rules_fr_funny.xml
                │           ├── pure-ftpd_rules_fr.xml
                │           ├── pure-ftpd_rules_it.xml
                │           ├── pure-ftpd_rules_nl.xml
                │           ├── pure-ftpd_rules_no.xml
                │           ├── pure-ftpd_rules_pt_br.xml
                │           ├── pure-ftpd_rules_ro.xml
                │           ├── pure-ftpd_rules_sk.xml
                │           ├── pure-ftpd_rules_sv.xml
                │           └── pure-ftpd_rules_tr.xml
                ├── rules_reference.md
                ├── sca
                │   ├── applications
                │   │   ├── cis_apache2224_rcl.yml
                │   │   ├── cis_mysql5-6_community_rcl.yml
                │   │   └── cis_mysql5-6_enterprise_rcl.yml
                │   ├── darwin
                │   │   ├── 15
                │   │   │   └── cis_apple_macOS_10.11.yml
                │   │   ├── 16
                │   │   │   └── cis_apple_macOS_10.12.yml
                │   │   ├── 17
                │   │   │   └── cis_apple_macOS_10.13.yml
                │   │   └── system_audit_rcl_mac.yml
                │   ├── debian
                │   │   ├── cis_debianlinux7-8_L1_rcl.yml
                │   │   ├── cis_debianlinux7-8_L2_rcl.yml
                │   │   └── cis_debian_linux_rcl.yml
                │   ├── generic
                │   │   ├── system_audit_pw.yml
                │   │   ├── system_audit_rcl.yml
                │   │   └── system_audit_ssh.yml
                │   ├── rhel
                │   │   ├── 5
                │   │   │   └── cis_rhel5_linux_rcl.yml
                │   │   ├── 6
                │   │   │   └── cis_rhel6_linux_rcl.yml
                │   │   └── 7
                │   │       └── cis_rhel7_linux_rcl.yml
                │   ├── sles
                │   │   ├── 11
                │   │   │   └── cis_sles11_linux_rcl.yml
                │   │   └── 12
                │   │       └── cis_sles12_linux_rcl.yml
                │   ├── sunos
                │   │   └── cis_solaris11_rcl.yml
                │   └── windows
                │       ├── acsc_office2016_rcl.yml
                │       ├── cis_win10_enterprise_L1_rcl.yml
                │       ├── cis_win10_enterprise_L2_rcl.yml
                │       ├── cis_win2012r2_domainL1_rcl.yml
                │       ├── cis_win2012r2_domainL2_rcl.yml
                │       ├── cis_win2012r2_memberL1_rcl.yml
                │       ├── cis_win2012r2_memberL2_rcl.yml
                │       └── win_audit_rcl.yml
                ├── scap_content
                │   ├── cve-debian-8-oval.xml
                │   ├── cve-debian-9-oval.xml
                │   ├── cve-redhat-6-ds.xml
                │   ├── cve-redhat-7-ds.xml
                │   ├── cve-ubuntu-xenial-oval.xml
                │   ├── ssg-centos-6-ds.xml
                │   ├── ssg-centos-7-ds.xml
                │   ├── ssg-debian-8-ds.xml
                │   ├── ssg-fedora-24-ds.xml
                │   ├── ssg-rhel-6-ds.xml
                │   ├── ssg-rhel-7-ds.xml
                │   ├── ssg-ubuntu-1404-ds.xml
                │   └── ssg-ubuntu-1604-ds.xml
                ├── tools
                │   ├── amazon
                │   │   └── getawslog.py
                │   ├── cve-xccdf
                │   │   ├── cve-xccdf-update.sh
                │   │   ├── oval-to-xccdf.xslt
                │   │   └── xccdf_1.1_to_1.2.xsl
                │   ├── file-testing
                │   │   └── file_test.py
                │   └── rules-testing
                │       ├── runtests.py
                │       └── tests
                │           ├── apache.ini
                │           ├── apparmor.ini
                │           ├── cimserver.ini
                │           ├── cisco_ios.ini
                │           ├── cpanel.ini
                │           ├── doas.ini
                │           ├── dovecot.ini
                │           ├── exim.ini
                │           ├── firewalld.ini
                │           ├── mailscanner.ini
                │           ├── modsecurity.ini
                │           ├── named.ini
                │           ├── netscreen.ini
                │           ├── nginx.ini
                │           ├── opensmtpd.ini
                │           ├── oscap.ini
                │           ├── ossec.ini
                │           ├── pam.ini
                │           ├── postfix.ini
                │           ├── proftpd.ini
                │           ├── rsh.ini
                │           ├── samba.ini
                │           ├── sshd.ini
                │           ├── sudo.ini
                │           ├── su.ini
                │           ├── syslog.ini
                │           ├── sysmon.ini
                │           ├── systemd.ini
                │           ├── unbound.ini
                │           ├── vsftpd.ini
                │           ├── web_appsec.ini
                │           └── web_rules.ini
                ├── update_ruleset
                └── VERSION

39 directories, 390 files

Regards, Eva

Lopuiz commented 5 years ago

RPM package

OS: CentOS 5 and CentOS 7

Following files and directories stay after I remove Wazuh agent from CentOS 5 and CentOS 7:

[root@agent2 ossec]# tree /var/ossec/
/var/ossec/
|-- etc
|   |-- client.keys.rpmsave
|   `-- ossec.conf.rpmsave
`-- ruleset

2 directories, 2 files

Note ruleset directory is empty and SCA policies are removed

Lopuiz commented 5 years ago

AIX Package

OS: AIX soaxp427 3 5

I install Wazuh agent using the following command:

# rpm -ivh wazuh-agent-3.10.0-1.aix.ppc.rpm
wazuh-agent                 ##################################################

wazuh-agent seems to be installed:

# ls /var/ossec
.ssh             backup           lib              ruleset          wodles
active-response  bin              logs             tmp
agentless        etc              queue            var

# /var/ossec/bin/ossec-control status
wazuh-modulesd not running...
ossec-logcollector not running...
ossec-syscheckd not running...
ossec-agentd not running...
ossec-execd not running...

Then, when I try to remove it following error messages appear:

# rpm -e wazuh-agent-3.10.0-1.aix.ppc.rpm
error: package wazuh-agent-3.10.0-1.aix.ppc.rpm is not installed

And ossec-init.conf is not correct:

# cat /etc/ossec-init.conf
DIRECTORY="/var/ossec"
NAME="Wazuh"
VERSION="v3.10.0"
REVISION="31007"
DATE="Thu Aug 29 03:05:47 CDT 2019"
TYPE="agent"

# date
Mon Sep  2 10:35:00 CDT 2019

And wazuh-agent start although it is not connected to the manager:

# /var/ossec/bin/ossec-control start
Starting Wazuh v3.10.0...
Started ossec-execd...
Started ossec-agentd...
Started ossec-syscheckd...
Started ossec-logcollector...
Started wazuh-modulesd...
Completed.
# /var/ossec/bin/ossec-control status
wazuh-modulesd is running...
ossec-logcollector is running...
ossec-syscheckd is running...
ossec-agentd is running...
ossec-execd is running...

Lopuiz commented 5 years ago

Solaris package

OS: Solaris 11 Intel

I install wazuh-agent and it seems to be installed correctly:

root@agent3:/export/home/vagrant# ls /var/ossec/
active-response  backup           etc              logs             ruleset          var
agentless        bin              lib              queue            tmp              wodles
root@agent3:/export/home/vagrant# /var/ossec/bin/ossec-control status
wazuh-modulesd not running...
ossec-logcollector not running...
ossec-syscheckd not running...
ossec-agentd not running...
ossec-execd not running...

I try to start wazuh-agent and it fails (it's okay):

root@agent3:/export/home/vagrant# /var/ossec/bin/ossec-control start
2019/09/02 18:13:07 ossec-agentd: CRITICAL: (1751): File client.keys not found or empty.
ossec-agentd: Configuration error. Exiting

But, when ossec-init.conf doesn't seems to be correct:

root@agent3:/export/home/vagrant# cat /etc/ossec-init.conf 
DIRECTORY="/var/ossec"
NAME="Wazuh"
VERSION="v3.10.0"
REVISION="31007"
DATE="Wednesday, August 28, 2019 08:54:52 PM EEST"
TYPE="agent"

root@agent3:/export/home/vagrant# date
lunes,  2 de septiembre de 2019, 18:12:23 (CEST)

Lopuiz commented 5 years ago

Hi!

I have researched and the issue of ossec-init.conf's date is in Debian and RPM packages. I have open issue in wazuh-packages reporting the bug.

Regards, Eva

wazuh / wazuh-qa

3.10 tests: Installation #130

Installation test

RPM (Linux)

DEB (Linux)

Mac OS X

Solaris (Intel)

Solaris (SPARC)

(HP-UX)

AIX

Sources

DEB package

RPM packages

RPM package

AIX Package

Solaris package