Мы используем OSSEC по модели клиент-сервер. ClientA & КлиентB серверы - это веб-серверы за балансировщиком нагрузки. Оба они отправляют информацию на один сервер OSSEC (ServerA), где он соответственно вызывает активный ответ (т. е. динамическую блокировку IP).
clientA (агент OSSEC) -> ServerA (сервер OSSEC)
clientB (агент OSSEC) -> ServerA (сервер OSSEC)
Функция активного ответа OSSEC по большей части работает отлично. Однако проблема в том, что даже если clientA и clientB «сгруппированы», сервер OSSEC будет блокировать нарушающий IP-адрес конечного пользователя, относящийся к каждому клиенту.
Имея в виду, если ServerA блокирует IP-адрес конечного пользователя 1.2.3.4 на clientA, это же действие не отражается на clientB.
Прочитав руководство OSSEC, я почти уверен, что нет способа решить этот сценарий. Или есть?
Если нет, я искал совета или предложений от сообщества, чтобы узнать, есть ли альтернативный способ справиться с этим.
Спасибо.
Если я вас правильно понял, вы хотите, чтобы активный ответ запускался как на clientA, так и на clientB.
В таком случае я бы порекомендовал вам взглянуть на документацию Active Response.
Вы можете определить, где запускается активный ответ:
расположение
Где команда должна быть выполнена. У вас есть четыре варианта:
Разрешается:
местный: на агенте, создавшем событие
сервер: на сервере OSSEC
определенный агент: на конкретном агенте (при использовании этой опции вам необходимо установить agent_id для использования)
все: или везде.
источник: http://ossec-docs.readthedocs.io/en/latest/syntax/head_ossec_config.active-response.html