OSSEC установлен на некоторых веб-серверах, работающих за Amazon ELB. Проблема в том, что при срабатывании активного ответа он блокирует IP-адрес балансировщика нагрузки. Есть ли способ использовать активный ответ для блокировки клиентов, отправляющих подозрительные запросы, когда OSSEC находится за балансировщиком нагрузки?
Спасибо
Вы можете добавить IP-адреса в белый список в ossec.conf. Этот файл обычно находится в /var/ossec/etc/ossec.conf.
<global>
<white_list>ip goes here</white_list>
...
</global>
Затем перезапустите ossec с помощью /etc/init.d/ossec restart.
Добавление IP-адреса балансировщика нагрузки в <white_list> Директива не принесет вам никакой пользы с точки зрения достижения вашей цели, которая заключается в том, что OSSEC блокирует фактический вредоносный IP (IP-адрес конечного пользователя, зарегистрированный на веб-серверах).
Ваш балансировщик нагрузки должен быть настроен для обработки заголовков X-Forwarded-For, а ваш веб-сервер или стек приложений должны быть настроены для записи IP-адреса X-Forwarded-For в журналы.
Тогда OSSEC будет работать так, как вы предполагали, потому что его функция активного ответа будет определять правильный IP-адрес оскорбления в журналах.