最近在 Linux 机器上安装了 OSSEC 进行测试。
大多数结果都在预料之中,但是昨天我收到了一些关于完整性校验和更改的通知的电子邮件,例如 /usr/bin/whoami /usr/bin/md5sum /usr/bin/ls 和大约另外 50 个类似文件
由于我没有安装这些文件的任何新版本,如何在安装 OSSEC 程序 2 天后找出导致完整性校验和发生变化的原因?
尤里卡
几天前,我注意到我的 Ubuntu 服务器的磁盘几乎已满。我挖了一下,发现/var/ossec/queue/diff文件夹中的磁盘空间被OSSEC使用了。
我想立即尝试一些东西,所以我删除了这个文件夹的内容。一切正常,磁盘空间使用量恢复到“正常”量。
但是 OSSEC 队列文件夹再次增长。
是否有设置可以防止 OSSEC 队列使用所有磁盘空间?
我在 Ubuntu 12.10 服务器上将 OSSEC 作为 HIDS 运行,它经常(每天 3-4 次)向我发送这样的通知:(注意 IP 地址的最后一个八位字节已更改为“xxx”以保护有罪)
OSSEC HIDS Notification.
2013 Nov 21 15:10:43
Received From: localhost->/var/log/auth.log
Rule: 2502 fired (level 10) -> "User missed the password more than one time"
Portion of the log(s):
Nov 21 15:10:41 localhost sshd[3594]: PAM 5 more authentication failures; logname= uid=0 euid=0 tty=ssh ruser= rhost=61.147.74.xxx user=root
--END OF NOTIFICATION
我是服务器上唯一的(合法)用户,并且我已经PermitRootLogin no在我的/etc/ssh/sshd_config. 因此,每次有人无法以 root 身份登录时向我发送警报是毫无意义的。
我发现 OSSEC 规则 2502 的定义/var/ossec/rules/syslog_rules.xml如下:
<rule id="2502" level="10">
<match>more …