我们在 Amazon ELB 后面运行的一些 Web 服务器上安装了 OSSEC。问题是,当主动响应触发时,它会阻止负载均衡器的 IP 地址。当 OSSEC 位于负载均衡器后面时,是否有任何方法可以使用主动响应来阻止客户端发送可疑请求?
谢谢
答案1
您可以在 ossec.conf 中将 IP 添加到白名单中。该文件通常位于 /var/ossec/etc/ossec.conf。
<global>
<white_list>ip goes here</white_list>
...
</global>
然后使用 /etc/init.d/ossec restart 重新启动 ossec。
答案2
将负载均衡器 IP 添加到<white_list>指令中对于实现您的目标没有任何好处,您的目标是让 OSSEC 阻止实际的违规 IP(登录到 Web 服务器的最终用户 IP)。
您的负载均衡器必须进行调整以处理 X-Forwarded-For 标头,并且您的 Web 服务器或应用程序堆栈需要进行调整以将 X-Forwarded-For IP 记录到日志中。
然后 OSSEC 就会按您的预期工作,因为它的主动响应功能将在日志中识别正确的违规 IP。