失敗したrootsshのOSSEC電子メールを抑制します
Ubuntu 12.10サーバーでOSSECをHIDSとして実行していますが、定期的に(1日3〜4回)次のような通知が送信されます(IPアドレスの最後のオクテットが「xxx」に変更されていることに注意してください)。有罪)
OSSEC HIDS Notification.
2013 Nov 21 15:10:43
Received From: localhost->/var/log/auth.log
Rule: 2502 fired (level 10) -> "User missed the password more than one time"
Portion of the log(s):
Nov 21 15:10:41 localhost sshd[3594]: PAM 5 more authentication failures; logname= uid=0 euid=0 tty=ssh ruser= rhost=61.147.74.xxx user=root
--END OF NOTIFICATION
私はサーバー上の唯一の(正当な)ユーザーであり、PermitRootLogin noに/etc/ssh/sshd_configを設定しています。したがって、rootが無意味であるため、誰かがsshに失敗するたびにアラートを送信します。
OSSECルール2502が/var/ossec/rules/syslog_rules.xmlで次のように定義されている場所を見つけました。
<rule id="2502" level="10">
<match>more authentication failures;|REPEATED login failures</match>
<description>User missed the password more than one time</description>
<group>authentication_failed,</group>
</rule>
私のユーザー名に失敗するログインの試みがあるかどうかを知ることは非常に役立つので、このルールを完全に無効にしたくないです。問題のユーザー名がrootの場合、メールを送信しないようにする必要があります。
以下を ´/ var/ossec/rules/local_rules.xml`に追加します。
<rule id="100001" level="10">
<if_sid>2502</if_sid>
<description>Suppress email from failed login attempts</description>
<options>no_email_alert</options>
</rule>
このように、アラートから電子メールは送信されません(<options>no_email_alert</options>)ただし、レベル10でフラグが付けられ、適切なアクティブ応答がトリガーされます。