Назад | Перейти на главную страницу

Отключить электронную почту OSSEC для максимального количества попыток аутентификации SSH

Я пытаюсь отключить уведомления по электронной почте для правила 5758 OSSEC.

<rule id="5758" level="8">
<decoded_as>sshd</decoded_as>
<match>^error: maximum authentication attempts exceeded </match>
<description>Maximum authentication attempts exceeded.</description>
<group>authentication_failed,</group>
</rule>

В /var/ossec/rules/local_rules.xml я добавил это настраиваемое правило:

<rule id="100002" level="8">
<if_sid>5758</if_sid>
<description>No mail for max auth SSH</description>
<options>no_email_alert</options>
</rule>

Но это правило не действует.

Тебе нужно <rule id="5758" level="0">

Уровень 0 означает игнорирование / никаких действий. Он по-прежнему будет сканировать файл. У меня это в моем /var/ossec/rules/sshd_rules.xml. Просто измените уровень на ноль. Если вы хотите сохранить локальные изменения в другом файле, вы можете это сделать в файле local_rules.xml, который, вероятно, является лучшим способом справиться с этим. В основном сохраните исходное правило в sshd_rules.xml, а затем перезапишите его с помощью локальных правил.

главное правило в /sshd_rules.xml:

 <rule id="5758" level="8">
    <decoded_as>sshd</decoded_as>
    <match>^error: maximum authentication attempts exceeded </match>
    <description>Maximum authentication attempts exceeded.</description>
    <group>authentication_failed,</group>
  </rule>

а затем в local_rules:

   <rule id="100002" level="0">
<if_sid>5758</if_sid>
<description>No mail for max auth SSH</description>
<options>no_email_alert</options>
</rule>