我尝试禁用 OSSEC 规则 5758 的电子邮件通知。
<rule id="5758" level="8">
<decoded_as>sshd</decoded_as>
<match>^error: maximum authentication attempts exceeded </match>
<description>Maximum authentication attempts exceeded.</description>
<group>authentication_failed,</group>
</rule>
在 /var/ossec/rules/local_rules.xml 中我添加了这个自定义规则:
<rule id="100002" level="8">
<if_sid>5758</if_sid>
<description>No mail for max auth SSH</description>
<options>no_email_alert</options>
</rule>
但这条规则并没有任何效果。
答案1
你需要<rule id="5758" level="0">
级别 0 表示忽略/不采取任何措施。它仍将扫描文件。我的 中有这个/var/ossec/rules/sshd_rules.xml。只需将级别更改为零即可。如果您想将本地更改保存在另一个文件中,那么您可以在 local_rules.xml 文件中执行此操作,这可能是管理此操作的更好方法。基本上将原始规则保存在 sshd_rules.xml 中,然后通过本地规则覆盖它。
/sshd_rules.xml中的主要规则:
<rule id="5758" level="8">
<decoded_as>sshd</decoded_as>
<match>^error: maximum authentication attempts exceeded </match>
<description>Maximum authentication attempts exceeded.</description>
<group>authentication_failed,</group>
</rule>
然后在local_rules中:
<rule id="100002" level="0">
<if_sid>5758</if_sid>
<description>No mail for max auth SSH</description>
<options>no_email_alert</options>
</rule>