我正在尝试配置 OSSEC 主动响应,以便使用主机拒绝命令在 600 秒警报级别或以上的时间范围内阻止 IP。
<active-response>
<command>host-deny</command>
<location>local, server</location>
<level>10</level>
<timeout>3600</timeout>
</active-response>
我可以将时间范围添加到以下代码中,并在 x 秒内至少 600 秒内或以上发出 3 个警报,但如果没有更多活动,则在 y 秒后解除阻止。
另外,是否可以在服务器的本地配置中而不是在全局配置中将某些IP列入白名单?