Debian

OSSEC:解鎖IP並增加門檻

  • December 7, 2018

我剛剛設置了 OSSEC,但我不小心已經將自己與我的家庭 IP 隔離了。

那麼 OSSEC 是否具有在 IP 被阻止後解除阻止 IP 的功能,還是我需要在 iptables 中手動執行此操作?

OSSEC 是否也提供了一種臨時禁止 IP 的方法?

要手動取消阻止它們,您需要將“添加”更改為“刪除”,因此刪除之前的規則將是:

/var/ossec/active-response/bin/host-deny.sh delete - 188.163.238.252 1328614852.61546 5712
/var/ossec/active-response/bin/firewall-drop.sh delete - 188.163.238.252 1328614852.61546 5712

有時規則過於嚴格或不夠嚴格。您可能想要更改某些內容或自己添加一些內容。這可以在 local_rules.xml 文件中完成。建議我們要為apache2增加http auth登錄失敗的門檻。如果我們查看 apache_rules.xml,我們會看到許多規則。有趣的是:

<rule id="30119" level="12" frequency="6" timeframe="120">
   <if_matched_sid>30118</if_matched_sid>
   <same_source_ip />
   <description>Multiple attempts blocked by Mod Security.</description>
   <group>access_denied,</group>
 </rule>

要將頻率從 6 更改為 10,我們需要複製規則並將其粘貼到 local_rules.xml 中。然後我們添加一個參數 overwrite=”yes” 來告訴 OSSEC 它需要覆蓋 apache_rules.xml 中定義的規則,而使用 local_rules.xml 中定義的規則。規則如下所示:

<rule id="30119" level="12" frequency="10" timeframe="120" overwrite="yes">
   <if_matched_sid>30118</if_matched_sid>
   <same_source_ip />
   <description>Multiple attempts blocked by Mod Security.</description>
   <group>access_denied,</group>
 </rule>

如果我們想完全忽略這條規則,因為它與我們無關,我們只需將級別更改為 0:

<rule id="30119" level="0" frequency="10" timeframe="120" overwrite="yes">
   <if_matched_sid>30118</if_matched_sid>
   <same_source_ip />
   <description>Multiple attempts blocked by Mod Security.</description>
   <group>access_denied,</group>
 </rule>

摘自我的部落格回答了這個問題。

引用自:https://serverfault.com/questions/356729