我刚刚设置了 OSSEC,但是我不小心将自己从家庭 IP 中关闭了。
那么 OSSEC 是否具有在 IP 被阻止后解除阻止的功能,还是我需要在 iptables 中手动执行此操作?
OSSEC 是否还提供了暂时禁止 IP 的方法?
答案1
要手动解除阻止,您需要将“添加”更改为“删除”,因此删除以前的规则将是:
/var/ossec/active-response/bin/host-deny.sh delete - 188.163.238.252 1328614852.61546 5712
/var/ossec/active-response/bin/firewall-drop.sh delete - 188.163.238.252 1328614852.61546 5712
有时规则过于严格或不够严格。您可能想要自己更改或添加某些内容。这可以在 local_rules.xml 文件中完成。建议我们增加 apache2 的 http 身份验证登录失败的阈值。如果我们查看 apache_rules.xml,我们会看到许多规则。有趣的是:
<rule id="30119" level="12" frequency="6" timeframe="120">
<if_matched_sid>30118</if_matched_sid>
<same_source_ip />
<description>Multiple attempts blocked by Mod Security.</description>
<group>access_denied,</group>
</rule>
要将频率从 6 更改为 10,我们需要复制规则并将其粘贴到 local_rules.xml 中。然后我们添加一个参数 overwrite=”yes” 来告诉 OSSEC 它需要覆盖 apache_rules.xml 中定义的规则,而是使用 local_rules.xml 中定义的规则。规则如下所示:
<rule id="30119" level="12" frequency="10" timeframe="120" overwrite="yes">
<if_matched_sid>30118</if_matched_sid>
<same_source_ip />
<description>Multiple attempts blocked by Mod Security.</description>
<group>access_denied,</group>
</rule>
如果我们想完全忽略这条规则,因为它与我们无关,我们只需将级别更改为 0:
<rule id="30119" level="0" frequency="10" timeframe="120" overwrite="yes">
<if_matched_sid>30118</if_matched_sid>
<same_source_ip />
<description>Multiple attempts blocked by Mod Security.</description>
<group>access_denied,</group>
</rule>
摘录自我的博客回答了这个问题。
答案2
一个我需要快速解除IP封锁 方法(替换1.2.3.4为您的IP):
$ iptables -L | grep 1.2.3.4
$ grep 1.2.3.4 /etc/hosts.deny
如果在规则中找到 IP iptables's DROP,则运行:
/var/ossec/active-response/bin/firewall-drop.sh delete - 1.2.3.4
如果在中找到 IP /etc/hosts.deny,则运行
/var/ossec/active-response/bin/host-deny.sh delete - 1.2.3.4