ロードバランサーの背後でOSSECアクティブレスポンスを使用する

Question

AmazonELBの背後で実行されているいくつかのWebサーバーにOSSECがインストールされています。問題は、アクティブな応答がトリガーされると、ロードバランサーのIPアドレスがブロックされることです。 OSSECがロードバランサーの背後にあるときに、アクティブな応答を使用して疑わしい要求を送信するクライアントをブロックする方法はありますか？

ありがとう

Banjer · Answer

Ossec.confのホワイトリストにIPを追加できます。そのファイルは通常/var/ossec/etc/ossec.confにあります。

<global> <white_list>ip goes here</white_list> ... </global>

次に、/ etc/init.d/ossecrestartを使用してossecを再起動します。

JSL · Answer

ロードバランサーIPを<white_list>ディレクティブに追加しても、OSSECが実際の問題のあるIP（WebサーバーにログインしているエンドユーザーIP）をブロックするという目標を達成するという点では役に立ちません。

ロードバランサーはX-Forwarded-Forヘッダーを処理するように調整する必要があり、WebサーバーまたはアプリケーションスタックはX-Forwarded-ForIPをログに記録するように調整する必要があります。

そうすれば、OSSECは意図したとおりに機能します。これは、そのアクティブ応答機能がログ内の正しい問題のあるIPを識別するためです。