У меня 6 установок OSSEC (5 агентов + 1 сервер, все Debian 8), все настроены на блокировку повторяющихся нарушителей с помощью iptables от 10 минут до 1 месяца.
Время от времени мне необходимо перезапускать один или несколько серверов. Каждый раз, когда правила iptables, добавленные OSSEC, удаляются. Это также происходит при перезапуске ossec (./ossec-control restart)
Есть ли простое решение для соблюдения правил, или мне придется изменять сценарии активного ответа, чтобы запускать iptables-save каждый раз, когда IP блокируется / разблокируется?
Я думаю, вы ответили на свой вопрос последним, о запуске iptables-save в сценариях с активным ответом. Но проблема в том, что каждый раз, когда вы обновляете OSSEC, эти изменения будут перезаписаны.
Так что лучший вариант - настроить iptables-save в cron по своему вкусу.