ossec变更alert等级及配置邮件预警

一、场景

　　当攻击者尝试使用字典对某一台主机的sshd服务进行暴力破解的时候，如果我们能第一时间受到攻击预警的邮件的话，对安全人员或者运维人员来说都能做出快速响应。而使用ossec恰巧可以完成这一工作，但是要做些配置修改。

 

二、条件

　　设置邮件预警的前提是你的ossec server安装了邮件服务器，用的比较多的是sendmail，安装好sendmail后

通过配置/etc/aliases即可完成将发送到root的邮件自动转发到其他外部你想转发的邮件服务器。

• 安装sendmail
• 确认/etc/aliases文件，在末尾添加一行要接收的邮件记录：root: pentest@163.com
• 刷新 newaliases

三、操作步骤

1. 确认暴力破解sshd服务时的日志特征为“SSHD authentication failed”，有的时候也可能是“SSH insecure connection attempt (scan)."具体是哪个最好实际的尝试攻击一下，找出最准确的日志特征。

  2. 进入ossec规则库目录，寻找有关sshd的规则文件

 3. 编辑sshd_rules.xml文件，找到特征为“SSHD authentication failed”的规则块，然后变更level级别为邮件最低预警级别。

4. 邮件预警级别的确认

# vim /var/ossec/etc/ossec.conf

 5. 以上配置后，即可即时受到预警邮件。

注意事项：如果以上配置后不起作用重启一下ossec服务尝试一下。