[FUG-BR] OSSEC
Welkson Renny de Medeiros
welkson em focusautomacao.com.br
Terça Março 27 16:14:47 BRT 2007
Oi Rafael,
Eu usava a versão 0.9, funcionava direitinho, recentemente atualizei para
1.1, também fiquei na dúvida sobre o Active Response com IPFW, mas funfa...
para testar fiz o seguinte, deixei o snort e o ossec ligado, conectei em um
bsd de um outro cliente e rodei um nikto para testar falhas no meu
servidor... depois de alguns testes executados o snort detectou uma
tentativa de invasão, gerou o log no /var/log/snort/alert, o ossec leu e na
mesma hora bloqueou o ip do cliente pelo ipfw (ele inclui o ip do atacante
na table 1 - ipfw table 1 list)... funfou 100%... ele também inclui o ip no
/etc/hosts.deny, mas eu retirei esse script, prefiro só no ipfw mesmo.
Abraço,
--
Welkson Renny de Medeiros
Focus Automação Comercial
Desenvolvimento / Gerência de Redes
welkson em focusautomacao.com.br
Powered by ....
(__)
\\\'',)
\/ \ ^
.\._/_)
www.FreeBSD.org
----- Original Message -----
From: "Rafael Busetti" <omegatiger em gmail.com>
To: "Lista Brasileira de Discussão sobre FreeBSD (FUG-BR)"
<freebsd em fug.com.br>
Sent: Tuesday, March 27, 2007 3:58 PM
Subject: [FUG-BR] OSSEC
Boa tarde pessoal,
To aqui testando o OSSEC faz mais ou menos uns 4 dias, para ver todo o
funcionamento dele ... ele envia email, consegui trabalhar com ele
tranquilamente, porém em questão do Active-Responde eu não estou
conseguindo fazer ele funcionar ... precisa fazer alguma configuração
mais especifica? Procurei aqui porém não achei nada, meus logs do IPFW
são salvos no /var/log/ipfw/ipfw.log ... porém nao achei nenhum lugar
para especificar isso para o OSSEC ... como sei se está funcionadno
está parte?
OBrigado!
-------------------------
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Mais detalhes sobre a lista de discussão freebsd