Suprimir o email OSSEC para raiz ssh com falha

3

Estou executando o OSSEC como um HIDS em um servidor Ubuntu 12.10 e rotineiramente (3-4x por dia) envia uma notificação como esta: (note que o último octeto do endereço IP foi alterado para 'xxx' para proteger os culpados)

OSSEC HIDS Notification.
2013 Nov 21 15:10:43

Received From: localhost->/var/log/auth.log
Rule: 2502 fired (level 10) -> "User missed the password more than one time"
Portion of the log(s):

Nov 21 15:10:41 localhost sshd[3594]: PAM 5 more authentication failures; logname= uid=0 euid=0 tty=ssh ruser= rhost=61.147.74.xxx user=root

--END OF NOTIFICATION

Eu sou o único usuário (legítimo) no servidor e tenho PermitRootLogin no definido no meu /etc/ssh/sshd_config . Então, enviando-me um alerta toda vez que alguém falha em ssh como root é inútil.

Eu encontrei onde a regra OSSEC 2502 está definida em /var/ossec/rules/syslog_rules.xml as:

  <rule id="2502" level="10">
    <match>more authentication failures;|REPEATED login failures</match>
    <description>User missed the password more than one time</description>
    <group>authentication_failed,</group>
  </rule>

Eu preferiria não desabilitar esta regra, pois seria muito útil saber se houve tentativas de logins que falharam no meu nome de usuário. Eu só preciso disso para não me enviar e-mail quando o nome de usuário em questão é raiz.

    
por tkrajcar 22.11.2013 / 00:37

1 resposta

7

Adicione o seguinte ao seu ´ / var / ossec / rules / local_rules.xml '.

<rule id="100001" level="10">
  <if_sid>2502</if_sid>
  <description>Suppress email from failed login attempts</description>
  <options>no_email_alert</options>
</rule>

Desta forma, nenhum email é enviado do alerta ( <options>no_email_alert</options> ), mas ele ainda é sinalizado no nível 10 e aciona a resposta ativa apropriada.

    
por 22.11.2013 / 10:01