禁用 OSSEC 电子邮件的 SSH 最大身份验证尝试次数

禁用 OSSEC 电子邮件的 SSH 最大身份验证尝试次数

我尝试禁用 OSSEC 规则 5758 的电子邮件通知。

<rule id="5758" level="8">
<decoded_as>sshd</decoded_as>
<match>^error: maximum authentication attempts exceeded </match>
<description>Maximum authentication attempts exceeded.</description>
<group>authentication_failed,</group>
</rule>

在 /var/ossec/rules/local_rules.xml 中我添加了这个自定义规则:

<rule id="100002" level="8">
<if_sid>5758</if_sid>
<description>No mail for max auth SSH</description>
<options>no_email_alert</options>
</rule>

但这条规则并没有任何效果。

答案1

你需要<rule id="5758" level="0">

级别 0 表示忽略/不采取任何措施。它仍将扫描文件。我的 中有这个/var/ossec/rules/sshd_rules.xml。只需将级别更改为零即可。如果您想将本地更改保存在另一个文件中,那么您可以在 local_rules.xml 文件中执行此操作,这可能是管理此操作的更好方法。基本上将原始规则保存在 sshd_rules.xml 中,然后通过本地规则覆盖它。

/sshd_rules.xml中的主要规则:

 <rule id="5758" level="8">
    <decoded_as>sshd</decoded_as>
    <match>^error: maximum authentication attempts exceeded </match>
    <description>Maximum authentication attempts exceeded.</description>
    <group>authentication_failed,</group>
  </rule>

然后在local_rules中:

   <rule id="100002" level="0">
<if_sid>5758</if_sid>
<description>No mail for max auth SSH</description>
<options>no_email_alert</options>
</rule>

相关内容