OSSEC系列之active-response

安全 网站安全
OSSEC的另一个吸引人的地方,就是active-response,可以针对规则进行自动处理。不过最好慎用这个功能,否则,干掉了不该干掉的东西,那后果非常严重,所以,用这个东西,自动进行报警,还是不错的选择。

OSSEC 的另一个吸引人的地方,就是active-response,可以针对规则进行自动处理。不过最好慎用这个功能,否则,干掉了不该干掉的东西,那后果非常严重,所以,用这个东西,自动进行报警,还是不错的选择。

这里还是先给出一个标准配置,进行说明:

<command>

<name>test</name> //这个command 的名字,active-response 之后调用的

<executable>test.sh</executable> //脚本的名字,需要把这个脚本放到 /var/ossec/active-response/bin下 而且需要有执行权限,属于ossec 这个组 -r-xr-x— 1 root ossec 445 11-09 16:15 test.sh

<timeout_allowed>no</timeout_allowed> //超时设置 比如多长时间失效等等

<expect></expect> //例外,一般不设置

</command>

<active-response> //这儿需要放到 <command> 下面,否则 就会出现找不到command

<command>test</command> // 响应的command 的名字,就是上面定义的那个

<location>server</location> //响应的位置,server 就是服务器响应,比如执行一个脚本,agent 就是客户端响应

<level>1</level> //响应的级别。 就是1 级以上就响应

</active-response>

最后,再来看脚本文件,这个脚本就是添加一个用户。

文件名 :test.sh

useradd lion

ACTION=$1

USER=$2

IP=$3

LOCAL=`dirname $0`;

cd $LOCAL

cd ../

PWD=`pwd`

# Logging the call

echo “`date` $0 $1 $2 $3 $4 $5″ >> ${PWD}/../logs/active-responses.log

参考http://www.ossec.net/doc/manual/ar/index.html

责任编辑:蓝雨泪 来源: usefulshare
相关推荐

2012-11-14 11:03:14

OSSEC文件检查SYSCHECK

2012-11-07 16:21:14

OSSECDECODE

2011-07-12 13:26:41

Active Dire

2012-11-07 15:57:34

OSSECMYSQL

2014-06-16 11:17:12

入侵检测OSSEC日志分析

2013-08-20 10:12:37

入侵检测系统ossec

2011-07-22 16:28:31

Active DireORF

2017-03-16 10:02:50

2010-12-24 10:53:35

OSSEC HIDS开源

2011-04-29 10:58:11

SimpleFrame

2010-11-01 05:54:41

2023-03-03 08:18:41

2023-01-06 08:18:44

2021-07-07 21:40:46

Rust函数劝退

2009-07-07 10:08:49

Future Resp

2009-07-08 13:19:25

Future Resp

2012-12-20 11:05:12

IBMdW

2017-06-15 13:29:12

AkkaSpark异步

2011-04-29 09:33:22

SimpleFrame

2021-06-09 08:53:34

设计模式策略模式工厂模式
点赞
收藏

51CTO技术栈公众号