Вопросы Теги

OSSEC: Разблокируйте IP и увеличьте tresshold

Я вынужден сказать что насколько я знаю, что у Вас может только быть .mydomain.com, у Вас не может быть mydomain.

Нет никакой альтернативы, о которой я знаю, у Вас должен быть один IP-адрес для одного SSL.

3
задан 4 February 2012 в 00:32
2 ответа

Чтобы вручную разблокировать их, вам необходимо изменить «добавить» на «удалить», чтобы Удалите предыдущие правила: 

/var/ossec/active-response/bin/host-deny.sh delete - 188.163.238.252 1328614852.61546 5712
/var/ossec/active-response/bin/firewall-drop.sh delete - 188.163.238.252 1328614852.61546 5712

Иногда правила слишком строги или недостаточно строги. Возможно, вы захотите что-то изменить или добавить что-то сами. Это можно сделать в файле local_rules.xml. Предлагаем увеличить количество неудачных попыток входа в систему по http-аутентификации для apache2. Если мы посмотрим на apache_rules.xml, мы увидим ряд правил. Интересно следующее: 

 <rule id="30119" level="12" frequency="6" timeframe="120">
    <if_matched_sid>30118</if_matched_sid>
    <same_source_ip />
    <description>Multiple attempts blocked by Mod Security.</description>
    <group>access_denied,</group>
  </rule>

Чтобы изменить частоту с 6 на 10, нам нужно скопировать правило и вставить его в local_rules.xml. Затем мы добавляем параметр overwrite = ”yes”, чтобы сообщить OSSEC, что необходимо перезаписать правило, определенное в apache_rules.xml, и вместо этого использовать правило, определенное в local_rules.xml. Правило могло бы выглядеть так: 

 <rule id="30119" level="12" frequency="10" timeframe="120" overwrite="yes">
    <if_matched_sid>30118</if_matched_sid>
    <same_source_ip />
    <description>Multiple attempts blocked by Mod Security.</description>
    <group>access_denied,</group>
  </rule>

Если мы хотим полностью игнорировать это правило, поскольку оно не имеет отношения к нам, мы просто меняем уровень на 0: 

 <rule id="30119" level="0" frequency="10" timeframe="120" overwrite="yes">
    <if_matched_sid>30118</if_matched_sid>
    <same_source_ip />
    <description>Multiple attempts blocked by Mod Security.</description>
    <group>access_denied,</group>
  </rule>

Выдержка из моего блога отвечает на этот вопрос .

2
ответ дан 3 December 2019 в 07:37

Подход I-need-to-unblock-IP-fast (замените 1.2.3.4 своим IP-адресом): 

$ iptables -L | grep 1.2.3.4
$ grep 1.2.3.4 /etc/hosts.deny

Если IP-адрес находится в правиле iptables DROP , затем выполните: 

/var/ossec/active-response/bin/firewall-drop.sh delete - 1.2.3.4

Если IP-адрес находится в /etc/hosts.deny , выполните 

/var/ossec/active-response/bin/host-deny.sh delete - 1.2.3.4
-1
ответ дан 3 December 2019 в 07:37

Теги

Похожие вопросы