A resposta ativa do OSSEC pode lidar com coisas em um nível de cluster?

Navegue suas respostas
1

Estamos executando o OSSEC como um modelo cliente-servidor. ClientA & Os servidores ClientB são servidores da Web atrás de um balanceador de carga. Ambos enviam informações para um único servidor OSSEC ( ServerA ), onde invoca uma resposta ativa (ou seja, bloqueio de IP dinâmico) de acordo.

clientA (OSSEC agent) --> ServerA (OSSEC server)

clientB (OSSEC agent) --> ServerA (OSSEC server)

O recurso de resposta ativa do OSSEC funciona muito bem na maior parte. No entanto, o problema é que, apesar de clientA & clientB são "clusterizados", o servidor OSSEC bloqueará o IP ofensivo de um usuário final pertinente a cada cliente.

Ou seja, se ServerA bloquear um IP de usuário final de 1.2.3.4 em clientA , essa mesma ação não será refletida em clientB .

Depois de ler o manual do OSSEC, tenho certeza de que não há como abordar esse cenário. Ou existe?

Se não houver, eu estava procurando conselhos ou sugestões da comunidade para ver se há uma maneira alternativa de lidar com isso.

Obrigado.

    
por JSL 07.02.2017 / 17:48

1 resposta

0

Se eu entendi corretamente, você quer que a resposta ativa seja disparada no clientA e no clientB.

Se este for o caso, recomendo que você dê uma olhada na documentação do Active Response.

Você pode definir onde a resposta ativa será executada:

location

Where the command should be executed. You have four options:

Allowed:

local: on the agent that generated the event

server: on the OSSEC server

defined-agent: on a specific agent (when using this option, you need to set the agent_id to use)

all: or everywhere.

fonte: link

    
por 08.02.2017 / 11:29

Tags

como limitar o tamanho do Dovecot.index.cache Apache2, PHP5, Code Igniter e PGSQL