Você pode adicionar o (s) IP (s) à lista branca no ossec.conf. Esse arquivo geralmente está em /var/ossec/etc/ossec.conf.
<global>
<white_list>ip goes here</white_list>
...
</global>
Em seguida, reinicie o ossec com o /etc/init.d/ossec restart.
Temos o OSSEC instalado em alguns servidores da web que executam o Amazon ELB. O problema é que, quando a resposta ativa é acionada, ela bloqueia o endereço IP do balanceador de carga. Existe alguma maneira de usar a resposta ativa para bloquear clientes que enviam solicitações suspeitas quando o OSSEC está por trás de um balanceador de carga?
Obrigado
Você pode adicionar o (s) IP (s) à lista branca no ossec.conf. Esse arquivo geralmente está em /var/ossec/etc/ossec.conf.
<global>
<white_list>ip goes here</white_list>
...
</global>
Em seguida, reinicie o ossec com o /etc/init.d/ossec restart.
Adicionar o IP do balanceador de carga à diretiva <white_list> não seria bom em termos de atingir sua meta, que é para o OSSEC bloquear o IP ofensivo real (servidores IP conectados ao usuário final).
Seu balanceador de carga teria que ser ajustado para manipular cabeçalhos X-Forwarded-For, e seu servidor da web ou pilha de aplicativos precisaria ser ajustado para registrar o IP X-Forwarded-For nos logs.
Em seguida, o OSSEC funcionaria como você pretendia, porque o recurso de resposta ativa identificará o IP incorreto correto nos registros.
Tags monitoring ossec