OSSEC:IPのブロックを解除し、しきい値を上げる
OSSECをセットアップしたばかりですが、誤って自宅のIPからすでにシャットアウトしています。
それで、OSSECにはIPがブロックされた後にブロックを解除する機能がありますか、それともiptablesでこれを手動で行う必要がありますか?
また、OSSECはIPを一時的に禁止する方法を提供しますか?
それらのブロックを手動で解除するには、「追加」を「削除」に変更する必要があるため、以前のルールを削除するには、次のようになります。
/var/ossec/active-response/bin/Host-deny.sh delete - 188.163.238.252 1328614852.61546 5712
/var/ossec/active-response/bin/firewall-drop.sh delete - 188.163.238.252 1328614852.61546 5712
ルールが厳しくなったり、厳しくない場合があります。何かを変更したり、自分で何かを追加したりすることができます。これは、local_rules.xmlファイルで実行できます。 Apache2のhttpauthで失敗したログインのストレスホールドを増やしたいことを提案します。 Apache_rules.xmlを見ると、いくつかのルールがあります。興味深いのは:
<rule id="30119" level="12" frequency="6" timeframe="120">
<if_matched_sid>30118</if_matched_sid>
<same_source_ip />
<description>Multiple attempts blocked by Mod Security.</description>
<group>access_denied,</group>
</rule>
頻度を6から10に変更するには、ルールをコピーしてlocal_rules.xmlに貼り付ける必要があります。次に、パラメータoverwrite =” yes”を追加して、Apache_rules.xmlで定義されたルールを上書きする必要があることをOSSECに通知し、代わりにlocal_rules.xmlで定義されたルールを使用します。ルールは次のようになります。
<rule id="30119" level="12" frequency="10" timeframe="120" overwrite="yes">
<if_matched_sid>30118</if_matched_sid>
<same_source_ip />
<description>Multiple attempts blocked by Mod Security.</description>
<group>access_denied,</group>
</rule>
このルールは関係がないため完全に無視したい場合は、レベルを0に変更するだけです。
<rule id="30119" level="0" frequency="10" timeframe="120" overwrite="yes">
<if_matched_sid>30118</if_matched_sid>
<same_source_ip />
<description>Multiple attempts blocked by Mod Security.</description>
<group>access_denied,</group>
</rule>
私のブログ からの抜粋がこの質問に答えます。