У меня установлен OSSEC 2.94 и он работает на CentOS7. Он отправляет электронные письма при наличии соответствующих условий предупреждения.Кажется, что все работает правильно, что касается отправки предупреждений. Однако каждую ночь в рамках процесса резервного копирования один сервер scp передает файл другому серверу. Таким образом, каждое утро у меня появляется оповещение об этом логине.
В течение нескольких дней я безуспешно пытался игнорировать это предупреждение. Это означает, что напишите правило OSSEC, чтобы не отправлять предупреждение при этом ожидаемом входе в систему.
Предупреждение, которое я пытаюсь игнорировать:
** Alert 1535623261.244876: mail - pam,syslog,authentication_success,
2018 Aug 30 10:01:01 (myserver.mydomain.com) my.public.ip.addy ->/var/log/secure
Rule: 5501 (level 5) -> 'Login session opened.'
Aug 30 09:59:50 myhostname sshd[1611]: pam_unix(sshd:session): session opened for user dbBackupUser by (uid=10)
Я пытался записать правила в /var/ossec/rules/local_rules.xml, например:
<group name="pam,syslog,authentication_success,">
<rule id="104040" level="0">
<if_sid>5501</if_sid>
<user>dbBackupUser</user>
<options>no_email_alert</options>
<description>Attempt to ignore sshd logins by dbBackupUser.</description>
</rule>
</group> <!-- pam,syslog,authentication_success, -->
... Я пробовал много вариантов этого правило. Это только один пример.
Может ли кто-нибудь указать мне на то, что я делаю неправильно?
Я использовал этот пример в качестве основы:
<!-- This example will ignore failed ssh logins for the user name XYZABC.
-->
<!--
<rule id="100020" level="0">
<if_sid>5711</if_sid>
<user>XYZABC</user>
<description>Example of rule that will ignore sshd </description>
<description>failed logins for user XYZABC.</description>
</rule>
-->
В конечном итоге я бы хотел, чтобы правило игнорирования проверяло IP-адрес src, а также имя пользователя , но я пока не могу заставить его работать.
Спасибо!
Я работал над чем-то подобным и обнаружил, что этот пользователь не отвечает моим декодером. В итоге я переключился на использование совпадения вместо этого.
Если вы запустите запись в лог через ossec-logtest, вы должны быть в состоянии увидеть, если пользователь получает установку на что-нибудь.
.