小编tkr*_*car的帖子

为失败的 root ssh 禁止 OSSEC 电子邮件

我在 Ubuntu 12.10 服务器上将 OSSEC 作为 HIDS 运行，它经常（每天 3-4 次）向我发送这样的通知：（注意 IP 地址的最后一个八位字节已更改为“xxx”以保护有罪）

OSSEC HIDS Notification.
2013 Nov 21 15:10:43

Received From: localhost->/var/log/auth.log
Rule: 2502 fired (level 10) -> "User missed the password more than one time"
Portion of the log(s):

Nov 21 15:10:41 localhost sshd[3594]: PAM 5 more authentication failures; logname= uid=0 euid=0 tty=ssh ruser= rhost=61.147.74.xxx user=root

--END OF NOTIFICATION

Run Code Online (Sandbox Code Playgroud)

我是服务器上唯一的（合法）用户，并且我已经PermitRootLogin no在我的/etc/ssh/sshd_config. 因此，每次有人无法以 root 身份登录时向我发送警报是毫无意义的。

我发现 OSSEC 规则 2502 的定义/var/ossec/rules/syslog_rules.xml如下：

  <rule id="2502" level="10">
    <match>more …

Run Code Online (Sandbox Code Playgroud)

ubuntu authentication ossec ubuntu-12.10

tkr*_*car

2014 08-14

3
推荐指数

1
解决办法

2224
查看次数

标签统计

authentication ×1

ossec ×1

ubuntu ×1

ubuntu-12.10 ×1

为失败的 root ssh 禁止 OSSEC 电子邮件

标签 统计

小编tkr_car的帖子

标签统计