Я использую OSSEC как HIDS на сервере Ubuntu 12.10, и он регулярно (3-4 раза в день) отправляет мне уведомление, подобное этому: (обратите внимание, что последний октет IP-адреса был изменен на 'xxx' для защиты виноват)
OSSEC HIDS Notification.
2013 Nov 21 15:10:43
Received From: localhost->/var/log/auth.log
Rule: 2502 fired (level 10) -> "User missed the password more than one time"
Portion of the log(s):
Nov 21 15:10:41 localhost sshd[3594]: PAM 5 more authentication failures; logname= uid=0 euid=0 tty=ssh ruser= rhost=61.147.74.xxx user=root
--END OF NOTIFICATION
Я единственный (законный) пользователь на сервере, и у меня есть PermitRootLogin no установлен в моем /etc/ssh/sshd_config. Так что посылать мне оповещение каждый раз, когда кто-то не может подключиться по ssh от имени root, бессмысленно.
Я нашел, где правило 2502 OSSEC определено в /var/ossec/rules/syslog_rules.xml так как:
<rule id="2502" level="10">
<match>more authentication failures;|REPEATED login failures</match>
<description>User missed the password more than one time</description>
<group>authentication_failed,</group>
</rule>
Я бы предпочел не отключать это правило полностью, так как было бы очень полезно знать, есть ли попытки входа в систему, которые не соответствуют моему имени пользователя. Мне просто нужно, чтобы он не писал мне по электронной почте, когда рассматриваемое имя пользователя - root.
Добавьте следующее в ваш «/ var / ossec / rules / local_rules.xml».
<rule id="100001" level="10">
<if_sid>2502</if_sid>
<description>Suppress email from failed login attempts</description>
<options>no_email_alert</options>
</rule>
Таким образом, из оповещения (<options>no_email_alert</options>), но он по-прежнему отмечен на уровне 10 и вызывает соответствующий активный ответ.