¿Por qué no bloquea ossec las conexiones SSH cuando parece estar configurado correctamente?

Navega tus respuestas
0

¿Por qué ossec no bloquea las conexiones de otro servidor?

Instalé la versión 2.9.3 de ossec en Ubuntu 16.04. En el archivo ossec.conf tengo estas líneas donde x.x.x.x es la dirección IP de un segundo servidor Linux: 

<command>
    <name>firewall-drop</name>
    <executable>firewall-drop.sh</executable>
    <expect>x.x.x.x</expect>
    <timeout_allowed>yes</timeout_allowed>
</command>

<active-response>
    <command>firewall-drop</command>
    <location>all</location>
    <rules_id>5712</rules_id> 
    <timeout>1800</timeout> 
</active-response>

Reinicié ossec. Ejecutar un ps -ef | grep ossec mostró que se estaba ejecutando. Tengo una regla de cortafuegos que permite que el servidor Linux en x.x.x.x sea SSH al servidor Ubuntu con ossec. Todavía puedo SSH desde el segundo servidor al servidor ossec.

Cambié el tiempo de espera a 20. Me aseguré de que me tomara 25 segundos escribir la contraseña. Todavía puedo SSH desde el segundo servidor al servidor ossec. Esperaba que lo anterior bloqueara las conexiones SSH. Intenté apagar el firewall, pero eso no tuvo ningún efecto. ¿Qué estoy haciendo mal?

    
pregunta Jermoe 11.01.2018 - 07:43
fuente

1 respuesta

0

El tiempo de espera en el bloque OSSEC <active-response> es después de la hora en que se revertirá la respuesta: en otras palabras, después de 1800 segundos (o 20 segundos, cuando lo cambió), se permitirá nuevamente la IP.

La regla 5712 en la configuración predeterminada detecta la fuerza bruta de SSH: intente conectarse varias veces. También puede buscar en el archivo /var/ossec/logs/alerts/alerts.log para ver cuándo se activan las alertas.

    
respondido por el David 11.01.2018 - 08:11
fuente

Lea otras preguntas en las etiquetas

¿Es importante la comprobación del origen de window.postMessage para la aplicación iframe "sin estado"? AutoScripting para Windows Cmd shell cuando se inicia sesión [cerrado]