Мы используем OSSEC как модель клиент-сервер. Серверы ClientA и ClientB - это веб-серверы, расположенные за балансировщиком нагрузки. Оба они отправляют информацию на один сервер OSSEC ( ServerA ), где он соответственно вызывает активный ответ (т.е. динамическую блокировку IP).
clientA (агент OSSEC) -> ServerA (сервер OSSEC)
clientB (агент OSSEC) -> ServerA (сервер OSSEC)
Функция активного ответа OSSEC по большей части отлично работает. Однако проблема в том, что даже если clientA и clientB «сгруппированы», сервер OSSEC будет блокировать нарушающий IP-адрес конечного пользователя, относящийся к каждому клиенту.
Это означает, что если ServerA блокирует IP-адрес конечного пользователя 1.2.3.4 на clientA , это же действие не отражается на clientB .
Прочитав руководство OSSEC, я почти уверен, что нет способа решить этот сценарий. Или есть?
Если нет, я искал совета или предложения от сообщества, чтобы узнать, есть ли альтернативный способ справиться с этим.
Спасибо.
Если я правильно вас понял, вы хотите, чтобы активный ответ запускался как на clientA, так и на clientB.
Если это так, я бы рекомендовал вам взглянуть на Active Response документация.
Вы можете определить, где запускается активный ответ:
location
Где должна выполняться команда. У вас есть четыре варианта:
Разрешено:
локальный : на агенте, который сгенерировал событие
сервер : на сервере OSSEC
defined-agent : на конкретном агент (при использовании этой опции вам необходимо указать идентификатор агента)
все : или везде.
источник: http://ossec-docs.readthedocs.io/en/latest /syntax/head_ossec_config.active-response.html