為 SSH 最大身份驗證嘗試禁用 OSSEC 電子郵件

我嘗試禁用 OSSEC 規則 5758 的電子郵件通知。

<rule id="5758" level="8">
<decoded_as>sshd</decoded_as>
<match>^error: maximum authentication attempts exceeded </match>
<description>Maximum authentication attempts exceeded.</description>
<group>authentication_failed,</group>
</rule>

在 /var/ossec/rules/local_rules.xml 我添加了這個自定義規則：

<rule id="100002" level="8">
<if_sid>5758</if_sid>
<description>No mail for max auth SSH</description>
<options>no_email_alert</options>
</rule>

但是這條規則沒有任何作用。

你需要<rule id="5758" level="0">

0 級表示忽略/不採取任何措施。它仍然會掃描文件。我的/var/ossec/rules/sshd_rules.xml. 只需將級別更改為零即可。如果您想將本地更改保存在不同的文件中，那麼您可以在 local_rules.xml 文件中進行此操作，這可能是一種更好的管理方式。基本上將原始規則保留在 sshd_rules.xml 中，然後通過本地規則覆蓋它。

/sshd_rules.xml 中的主要規則：

<rule id="5758" level="8">
   <decoded_as>sshd</decoded_as>
   <match>^error: maximum authentication attempts exceeded </match>
   <description>Maximum authentication attempts exceeded.</description>
   <group>authentication_failed,</group>
 </rule>

然後在 local_rules 中：

  <rule id="100002" level="0">
<if_sid>5758</if_sid>
<description>No mail for max auth SSH</description>
<options>no_email_alert</options>
</rule>

引用自：https://serverfault.com/questions/909130