OSSEC 在启动时会发送电子邮件,但在停止时不会发送电子邮件。因此,如果有人以某种方式访问服务器,他可以停止 OSSEC 并在我不知情的情况下做任何他想做的事情。还是我遗漏了什么?
答案1
如果有人获得足够的权限访问服务器并停止 OSSEC,那么她也将能够阻止 OSSEC 发送通知您有关其终止的电子邮件。
解决这种情况的正确方法是从不同的系统(通常是您的网络监控系统)监控 OSSEC 服务。当然,攻击者仍有可能伪造对监控系统检查 OSSEC 是否仍在运行的肯定响应。但您可以根据自己的偏执程度随意设置难度。