Re: question IDS? reponse: OSSEC HIDS
Le Samedi 20 Janvier 2007 02:32, vous avez écrit :
> <active-response>
> <!-- This response is going to execute the host-deny
> - command for every event that fires a rule with
> - level (severity) >= 6.
> - The IP is going to be blocked for 600 seconds.
> -->
> <command>host-deny</command>
> <location>local</location>
> <level>6</level>
> <timeout>1800</timeout>
> </active-response>
Bonjour
Je suis bien un peu couillon !
J'ai changé le timeout pour qu'il corresponde à 5 heures et je n'ai même pas
vu la severity !??? :)
Pour apache j'ai compris : (c'est vous qui détenniez la solution)
Dans ossec.conf la partie :
<active-response>
.....
</active-response>
Il n'y a pas de :
<command>
<name>apache-drop</name>
<executable>apache-drop.sh</executable>
<expect>srcip</expect>
<timeout_allowed>yes</timeout_allowed>
</command>
qui est confirmé par le fait qu'il n'y a pas de :
/var/ossec/active-response/bin/apache-drop.sh
Rem : apache-drop.sh peut être = à firewall-drop.sh !!!
Reply to: