[Date Prev][Date Next] [Thread Prev][Thread Next] [Date Index] [Thread Index]

Re: question IDS? reponse: OSSEC HIDS

Le Samedi 20 Janvier 2007 02:32, vous avez écrit :
> <active-response>
>     <!-- This response is going to execute the host-deny
>        - command for every event that fires a rule with
>        - level (severity) >= 6.
>        - The IP is going to be blocked for  600 seconds.
>       -->
>     <command>host-deny</command>
>     <location>local</location>
>     <level>6</level>
>     <timeout>1800</timeout>
>   </active-response>

Bonjour

Je suis bien un peu couillon !
J'ai changé le timeout pour qu'il corresponde à 5 heures et je n'ai même pas 
vu la severity !???  :)

Pour apache j'ai compris : (c'est vous qui détenniez la solution)

Dans ossec.conf la partie  :
<active-response>
.....
</active-response>

Il n'y a pas de :
  <command>
    <name>apache-drop</name>
    <executable>apache-drop.sh</executable>
    <expect>srcip</expect>
    <timeout_allowed>yes</timeout_allowed>
  </command>  

qui est confirmé par le fait qu'il n'y a pas de :
/var/ossec/active-response/bin/apache-drop.sh

Rem : apache-drop.sh peut être = à firewall-drop.sh !!!
Reply to: