Назад | Перейти на главную страницу

OSSEC: разблокировать IP и увеличить порог

Я только что настроил OSSEC, но нечаянно уже отключился от домашнего ip.

Так есть ли у OSSEC функция для разблокировки IP после того, как он заблокирован, или мне нужно сделать это вручную в iptables?

Также OSSEC предоставляет способ временного запрета IP-адресов?

Чтобы вручную разблокировать их, вам нужно изменить «добавить» на «удалить», поэтому для удаления предыдущих правил это будет:

/var/ossec/active-response/bin/host-deny.sh delete - 188.163.238.252 1328614852.61546 5712
/var/ossec/active-response/bin/firewall-drop.sh delete - 188.163.238.252 1328614852.61546 5712

Иногда правила слишком строги или недостаточно строги. Возможно, вы захотите что-то изменить или добавить что-то сами. Это можно сделать в файле local_rules.xml. Предлагаем увеличить количество неудачных попыток входа в систему по http-аутентификации для apache2. Если мы посмотрим на apache_rules.xml, мы увидим ряд правил. Интересный:

 <rule id="30119" level="12" frequency="6" timeframe="120">
    <if_matched_sid>30118</if_matched_sid>
    <same_source_ip />
    <description>Multiple attempts blocked by Mod Security.</description>
    <group>access_denied,</group>
  </rule>

Чтобы изменить частоту с 6 на 10, нам нужно скопировать правило и вставить его в local_rules.xml. Затем мы добавляем параметр overwrite = ”yes”, чтобы сообщить OSSEC, что необходимо перезаписать правило, определенное в apache_rules.xml, и вместо этого использовать правило, определенное в local_rules.xml. Правило могло бы выглядеть так:

 <rule id="30119" level="12" frequency="10" timeframe="120" overwrite="yes">
    <if_matched_sid>30118</if_matched_sid>
    <same_source_ip />
    <description>Multiple attempts blocked by Mod Security.</description>
    <group>access_denied,</group>
  </rule>

Если мы хотим полностью игнорировать это правило, поскольку оно нам не актуально, мы просто меняем уровень на 0:

 <rule id="30119" level="0" frequency="10" timeframe="120" overwrite="yes">
    <if_matched_sid>30118</if_matched_sid>
    <same_source_ip />
    <description>Multiple attempts blocked by Mod Security.</description>
    <group>access_denied,</group>
  </rule>

Отрывок из мой блог отвечает на этот вопрос.

An Мне-нужно-разблокировать-IP-быстро подход (заменить 1.2.3.4 с вашим IP):

$ iptables -L | grep 1.2.3.4
$ grep 1.2.3.4 /etc/hosts.deny

Если IP находится в iptables's DROP правило, затем запустите:

/var/ossec/active-response/bin/firewall-drop.sh delete - 1.2.3.4

Если IP находится в /etc/hosts.deny, затем запустите 

/var/ossec/active-response/bin/host-deny.sh delete - 1.2.3.4