Использовать активную реакцию OSSEC за балансировщиком нагрузки

Question

Использовать активную реакцию OSSEC за балансировщиком нагрузки

На некоторых веб-серверах, работающих за Amazon ELB, установлен OSSEC. Проблема в том, что когда активируется активный ответ, он блокирует IP-адрес балансировщика нагрузки. Есть ли способ использовать активный ответ для блокировки клиентов, отправляющих подозрительные запросы, когда OSSEC находится за балансировщиком нагрузки?

Спасибо

2

monitoring ossec

Источник

Michael 23 май '11 в 12:01

2 ответа

Другие вопросы по тегам monitoring ossec

Banjer 24 июн '11 в 18:33 2011-06-24 18:33 · Answer 1 · 2011-06-24 18:33

Вы можете добавить IP-адреса в белый список в ossec.conf. Этот файл обычно находится в /var/ossec/etc/ossec.conf.

<global>
<white_list>ip goes here</white_list>
...
</global>

Затем перезапустите ossec с помощью /etc/init.d/ossec restart.

2

Источник

Banjer 24 июн '11 в 18:33

JSL 07 фев '17 в 17:54 2017-02-07 17:54 · Answer 2 · 2017-02-07 17:54

Добавление IP балансировщика нагрузки к <white_list> Директива не принесет вам никакой пользы с точки зрения достижения вашей цели, которая заключается в том, чтобы OSSEC блокировал фактический нарушающий IP-адрес (IP-адрес конечного пользователя, зарегистрированный на веб-серверах).

Ваш балансировщик нагрузки должен быть настроен для обработки заголовков X-Forwarded-For, а ваш веб-сервер или стек приложений должен быть настроен для записи IP-адреса X-Forwarded-For в журналы.

Тогда OSSEC будет работать так, как вы предполагали, потому что его функция активного ответа будет определять правильный ошибочный IP в журналах.