我们在Amazon ELB后面的一些networking服务器上安装了OSSEC。 问题是,当主动响应触发时,它会阻塞负载均衡器的IP地址。 当OSSEC位于负载平衡器后面时,有没有办法使用主动响应来阻止发送可疑请求的客户端?
谢谢
您可以将IP(s)添加到ossec.conf中的白名单。 该文件通常在/var/ossec/etc/ossec.conf中。
<global> <white_list>ip goes here</white_list> ... </global> 然后用/etc/init.d/ossec restart重新启动ossec。
将负载平衡器IP添加到<white_list>指令中,对于实现您的目标而言,OSSEC可以阻止实际侵犯的IP(login到Web服务器的最终用户IP),这对您<white_list> 。
您的负载平衡器必须进行调整以处理X-Forwarded-For标头,并且需要调整Web服务器或应用程序堆栈以将X-Forwarded-For IPlogging到日志中。
然后,OSSEC将按照您的预期工作,因为它的主动响应function将识别日志中正确的侵入IP。