我有 6 个 OSSEC 安装(5 个代理 + 1 个服务器,所有 Debian 8),全部配置为使用 iptables 阻止重复违规者 10 分钟到 1 个月。
我需要不时重启一个或多个服务器。每次 OSSEC 添加的 iptables 规则被删除时。重启 ossec 时也会发生这种情况(./ossec-control restart)
是否有一个简单的解决方案来遵守规则,或者我是否必须修改主动响应脚本以在每次阻止/解除阻止 IP 时运行 iptables-save?
答案1
我认为您用后者(在主动响应脚本中运行 iptables-save)回答了自己的问题。但问题是,每次升级 OSSEC 时,这些更改都会被覆盖。
因此最好的选择是根据您的喜好在 cron 中配置 iptables-save。