Perché ossec non bloccherà le connessioni SSH quando sembra configurato correttamente?

0

Perché ossec non blocca le connessioni da un altro server?

Ho installato la versione 2.9.3 di ossec su Ubuntu 16.04. Nel file ossec.conf ho queste righe dove x.x.x.x è l'indirizzo IP di un secondo server Linux:

<command>
    <name>firewall-drop</name>
    <executable>firewall-drop.sh</executable>
    <expect>x.x.x.x</expect>
    <timeout_allowed>yes</timeout_allowed>
</command>

<active-response>
    <command>firewall-drop</command>
    <location>all</location>
    <rules_id>5712</rules_id> 
    <timeout>1800</timeout> 
</active-response>

Ho riavviato ossec. Esecuzione di un ps -ef | grep ossec ha mostrato che era in esecuzione. Ho una regola del firewall che consente il server Linux in x.x.x.x a SSH al server Ubuntu con ossec. Posso ancora SSH dal secondo server al server ossec.

Ho cambiato il timeout a 20. Mi sono assicurato che mi ci sono voluti 25 secondi per digitare la password. Posso ancora SSH dal secondo server al server ossec. Mi aspettavo quanto sopra per bloccare le connessioni SSH. Ho provato a spegnere il firewall, ma ciò non ha avuto alcun effetto. Cosa sto sbagliando?

    
posta Jermoe 11.01.2018 - 07:43
fonte

1 risposta

0

Il timeout nel blocco OSSEC <active-response> è dopo il momento in cui la risposta sarà ripristinata: in altre parole, dopo 1800 secondi (o 20 secondi, quando lo hai cambiato), l'IP sarà di nuovo consentito.

La regola 5712 nella configurazione predefinita rileva la forza bruta SSH: prova a connetterti un numero di volte. Puoi anche cercare nel file /var/ossec/logs/alerts/alerts.log per vedere quando vengono generati avvisi.

    
risposta data 11.01.2018 - 08:11
fonte

Leggi altre domande sui tag