我刚刚build立了OSSEC,但是我不小心把自己从家里的IP上关了出来。
那么OSSEC是否有一个function来阻止IP被阻塞后,还是需要在iptables中手动执行?
OSSEC也提供了临时禁止IP的方法吗?
要手动解锁它们,您需要将“添加”更改为“删除”,因此要删除以前的规则:
/var/ossec/active-response/bin/host-deny.sh delete - 188.163.238.252 1328614852.61546 5712 /var/ossec/active-response/bin/firewall-drop.sh delete - 188.163.238.252 1328614852.61546 5712 有时规则要严格或不够严格。 你可能想改变一些东西或自己添加一些东西。 这可以在local_rules.xml文件中完成。 build议我们要增加apache2的http auth的失败login信息。 如果我们看一下apache_rules.xml,我们会看到一些规则。 有趣的是:
<rule id="30119" level="12" frequency="6" timeframe="120"> <if_matched_sid>30118</if_matched_sid> <same_source_ip /> <description>Multiple attempts blocked by Mod Security.</description> <group>access_denied,</group> </rule>
要将频率从6更改为10,我们需要复制规则并将其粘贴到local_rules.xml中。 然后,我们添加一个参数overwrite =“yes”来告诉OSSEC它需要覆盖apache_rules.xml中定义的规则,而使用local_rules.xml中定义的规则。 规则看起来像这样:
<rule id="30119" level="12" frequency="10" timeframe="120" overwrite="yes"> <if_matched_sid>30118</if_matched_sid> <same_source_ip /> <description>Multiple attempts blocked by Mod Security.</description> <group>access_denied,</group> </rule>
如果我们想完全忽略这个规则,因为它和我们没有关系,我们只是把级别更改为0:
<rule id="30119" level="0" frequency="10" timeframe="120" overwrite="yes"> <if_matched_sid>30118</if_matched_sid> <same_source_ip /> <description>Multiple attempts blocked by Mod Security.</description> <group>access_denied,</group> </rule>
我的博客摘录回答了这个问题。