我有6个OSSEC安装(5个代理+ 1台服务器,全部是Debian 8),全部configuration为使用iptables从10分钟到1个月时间内阻止重犯。
我有时需要重新启动一个或多个服务器。 每当OSSEC添加的iptables规则被删除。 这也发生在重新启动ossec(./ossec-control restart)
是否有一个简单的解决scheme来保持规则,或者我将不得不修改主动响应脚本来运行iptables – 保存每一个IP是封锁/解锁?
我认为你回答了你自己的问题,在主动响应脚本中运行iptables-save。 但问题在于,只要您升级OSSEC,这些更改就会被覆盖。
所以最好的select是按照自己的喜好在cron中configurationiptables-save。