Perché ossec non blocca le connessioni da un altro server?
Ho installato la versione 2.9.3 di ossec su Ubuntu 16.04. Nel file ossec.conf ho queste righe dove x.x.x.x è l'indirizzo IP di un secondo server Linux:
<command>
<name>firewall-drop</name>
<executable>firewall-drop.sh</executable>
<expect>x.x.x.x</expect>
<timeout_allowed>yes</timeout_allowed>
</command>
<active-response>
<command>firewall-drop</command>
<location>all</location>
<rules_id>5712</rules_id>
<timeout>1800</timeout>
</active-response>
Ho riavviato ossec. Esecuzione di un ps -ef | grep ossec
ha mostrato che era in esecuzione. Ho una regola del firewall che consente il server Linux in x.x.x.x a SSH al server Ubuntu con ossec. Posso ancora SSH dal secondo server al server ossec.
Ho cambiato il timeout a 20. Mi sono assicurato che mi ci sono voluti 25 secondi per digitare la password. Posso ancora SSH dal secondo server al server ossec. Mi aspettavo quanto sopra per bloccare le connessioni SSH. Ho provato a spegnere il firewall, ma ciò non ha avuto alcun effetto. Cosa sto sbagliando?