OSSEC 2.94를 설정하고 CentOS7에서 실행 중입니다. 적격한 경고 조건에 따라 이메일을 보내도록 했습니다. 경고 전송과 관련하여 모든 것이 제대로 작동하는 것 같습니다. 그러나 매일 밤 백업 프로세스의 일부로 한 서버 scp가 다른 서버에 파일을 보냅니다. 따라서 매일 아침 이 로그인에 대한 알림을 받습니다.
나는 며칠 동안 그 경고 하나를 무시하려고 노력했지만 성공하지 못했습니다. 즉, 예상되는 로그인에 대해 경고를 보내지 않도록 OSSEC 규칙을 작성하십시오.
무시하려는 경고는 다음과 같습니다.
** Alert 1535623261.244876: mail - pam,syslog,authentication_success,
2018 Aug 30 10:01:01 (myserver.mydomain.com) my.public.ip.addy ->/var/log/secure
Rule: 5501 (level 5) -> 'Login session opened.'
Aug 30 09:59:50 myhostname sshd[1611]: pam_unix(sshd:session): session opened for user dbBackupUser by (uid=10)
나는 /var/ossec/rules/local_rules.xml에 다음과 같은 규칙을 작성하려고 시도했습니다.
<group name="pam,syslog,authentication_success,">
<rule id="104040" level="0">
<if_sid>5501</if_sid>
<user>dbBackupUser</user>
<options>no_email_alert</options>
<description>Attempt to ignore sshd logins by dbBackupUser.</description>
</rule>
</group> <!-- pam,syslog,authentication_success, -->
...나는 이 규칙을 다양하게 변형해 보았습니다. 이것은 단지 하나의 예일 뿐입니다.
내가 뭘 잘못하고 있는지 알려줄 수 있는 사람이 있나요?
나는 내가 찾은 다음 예제를 기초로 사용하고 있었습니다.
<!-- This example will ignore failed ssh logins for the user name XYZABC.
-->
<!--
<rule id="100020" level="0">
<if_sid>5711</if_sid>
<user>XYZABC</user>
<description>Example of rule that will ignore sshd </description>
<description>failed logins for user XYZABC.</description>
</rule>
-->
궁극적으로 src IP와 사용자 이름을 검사하는 무시 규칙을 원하지만 아직까지 전혀 작동하지 못했습니다.
감사해요!
답변1
나는 그런 작업을 하고 있었는데 사용자가 내 디코더를 인식하지 못하는 것을 발견했습니다. 나는 대신 성냥을 사용하는 것으로 전환했습니다.
ossec-logtest를 통해 로그 항목을 실행하면 사용자가 어떤 것으로 설정되었는지 확인할 수 있습니다.