OSSEC:解除对 IP 的封锁并增加阈值

OSSEC:解除对 IP 的封锁并增加阈值

我刚刚设置了 OSSEC,但是我不小心将自己从家庭 IP 中关闭了。

那么 OSSEC 是否具有在 IP 被阻止后解除阻止的功能,还是我需要在 iptables 中手动执行此操作?

OSSEC 是否还提供了暂时禁止 IP 的方法?

答案1

要手动解除阻止,您需要将“添加”更改为“删除”,因此删除以前的规则将是:

/var/ossec/active-response/bin/host-deny.sh delete - 188.163.238.252 1328614852.61546 5712
/var/ossec/active-response/bin/firewall-drop.sh delete - 188.163.238.252 1328614852.61546 5712

有时规则过于严格或不够严格。您可能想要自己更改或添加某些内容。这可以在 local_rules.xml 文件中完成。建议我们增加 apache2 的 http 身份验证登录失败的阈值。如果我们查看 apache_rules.xml,我们会看到许多规则。有趣的是:

 <rule id="30119" level="12" frequency="6" timeframe="120">
    <if_matched_sid>30118</if_matched_sid>
    <same_source_ip />
    <description>Multiple attempts blocked by Mod Security.</description>
    <group>access_denied,</group>
  </rule>

要将频率从 6 更改为 10,我们需要复制规则并将其粘贴到 local_rules.xml 中。然后我们添加一个参数 overwrite=”yes” 来告诉 OSSEC 它需要覆盖 apache_rules.xml 中定义的规则,而是使用 local_rules.xml 中定义的规则。规则如下所示:

 <rule id="30119" level="12" frequency="10" timeframe="120" overwrite="yes">
    <if_matched_sid>30118</if_matched_sid>
    <same_source_ip />
    <description>Multiple attempts blocked by Mod Security.</description>
    <group>access_denied,</group>
  </rule>

如果我们想完全忽略这条规则,因为它与我们无关,我们只需将级别更改为 0:

 <rule id="30119" level="0" frequency="10" timeframe="120" overwrite="yes">
    <if_matched_sid>30118</if_matched_sid>
    <same_source_ip />
    <description>Multiple attempts blocked by Mod Security.</description>
    <group>access_denied,</group>
  </rule>

摘录自我的博客回答了这个问题。

答案2

一个我需要快速解除IP封锁 方法(替换1.2.3.4为您的IP):

$ iptables -L | grep 1.2.3.4
$ grep 1.2.3.4 /etc/hosts.deny

如果在规则中找到 IP iptables's DROP,则运行:

/var/ossec/active-response/bin/firewall-drop.sh delete - 1.2.3.4

如果在中找到 IP /etc/hosts.deny,则运行

/var/ossec/active-response/bin/host-deny.sh delete - 1.2.3.4

相关内容