我们正在以客户端-服务器模型运行 OSSEC。 客户A&客户B服务器是负载均衡器后面的 Web 服务器。它们都将信息发送到单个 OSSEC 服务器(服务器A),并相应地调用主动响应(即动态 IP 阻止)。
clientA(OSSEC代理)--> ServerA(OSSEC服务器)
clientB(OSSEC代理)--> ServerA(OSSEC服务器)
OSSEC 的主动响应功能在大多数情况下都很好用。然而问题是,即使客户端 A 和客户端 B 是“集群”的,OSSEC 服务器也会阻止与每个客户端相关的最终用户的违规 IP。
意思是,如果服务器A阻止最终用户 IP 1.2.3.4客户A,同一动作不会反映在客户B。
读完 OSSEC 手册后,我确信没有办法解决这种情况。或者有办法吗?
如果没有,我会向社区寻求建议或建议,看看是否有其他方法来处理它。
谢谢。
答案1
如果我理解正确的话,您希望在客户端A和客户端B上触发主动响应。
如果是这种情况,我建议您查看一下 Active Response 文档。
您可以定义主动响应的运行位置:
地点
执行命令的位置。您有四个选项:
允许:
当地的:在生成事件的代理上
服务器:在 OSSEC 服务器上
定义代理:在特定代理上(使用此选项时,需要设置要使用的agent_id)
全部:或任何地方。
来源:http://ossec-docs.readthedocs.io/en/latest/syntax/head_ossec_config.active-response.html