OSSEC: Desbloquear um IP e aumentar tresshold

3

Acabei de configurar o OSSEC, mas acidentalmente me tranquei do ip da minha casa.

O OSSEC tem uma função para desbloquear um IP depois que ele é bloqueado ou eu preciso fazer isso manualmente no iptables?

O OSSEC também oferece uma maneira de banir IPs temporários?

    
por Lucas Kauffman 03.02.2012 / 23:32

1 resposta

2

Para desbloqueá-los manualmente, você precisa alterar o "adicionar" para "excluir", para excluir as regras anteriores seria:

/var/ossec/active-response/bin/host-deny.sh delete - 188.163.238.252 1328614852.61546 5712
/var/ossec/active-response/bin/firewall-drop.sh delete - 188.163.238.252 1328614852.61546 5712

Às vezes, as regras são rígidas ou não são rigorosas o suficiente. Você pode querer mudar alguma coisa ou adicionar algo a si mesmo. Isso pode ser feito no arquivo local_rules.xml. Sugira que queremos aumentar o tresshold do login com falha na autenticação http do apache2. Se olharmos para o apache_rules.xml, vemos várias regras. O interessante é:

 <rule id="30119" level="12" frequency="6" timeframe="120">
    <if_matched_sid>30118</if_matched_sid>
    <same_source_ip />
    <description>Multiple attempts blocked by Mod Security.</description>
    <group>access_denied,</group>
  </rule>

Para alterar a frequência de 6 para 10, precisamos copiar a regra e colá-la em local_rules.xml. Em seguida, adicionamos um parâmetro overwrite = ”yes” para informar ao OSSEC que ele precisa sobrescrever a regra definida em apache_rules.xml e, em vez disso, usar aquele definido em local_rules.xml. A regra ficaria assim:

 <rule id="30119" level="12" frequency="10" timeframe="120" overwrite="yes">
    <if_matched_sid>30118</if_matched_sid>
    <same_source_ip />
    <description>Multiple attempts blocked by Mod Security.</description>
    <group>access_denied,</group>
  </rule>

Se quisermos ignorar completamente essa regra, pois ela não é relevante para nós, alteramos o nível para 0:

 <rule id="30119" level="0" frequency="10" timeframe="120" overwrite="yes">
    <if_matched_sid>30118</if_matched_sid>
    <same_source_ip />
    <description>Multiple attempts blocked by Mod Security.</description>
    <group>access_denied,</group>
  </rule>

Trecho de meu blog responde a essa pergunta.

    
por 27.03.2012 / 23:12

Tags