Ola Renato,
1-) Voce habilitou o active-response ?
2-) Se sim da uma olhada no active-response.log e veja as entradas.
Por padr�o alertas com level 7 ou maior sao automaticamente
bloqueados caso o active response estiver ativado.
Outro detalhe, � que o active response tem o timeout, ou seja, apos
10 minutos por padrao ele remove as regras, mas isso � configuravel.
Tenho algumas coisas de OSSEC (os tutoriais de versoes antigas mais
ainda funcional em http://www.brc.com.br/artigos/ )
Qualquer duvida pode mandar mail em PVT tambem.
[]zz!
2008/1/28 Psycho Mantys <[EMAIL PROTECTED]>:
>
>
> Em 28/01/08, Kristian Erik Hermansen <[EMAIL PROTECTED]>
> escreveu:
> >
> >
> > 2008/1/28 renato Rudnicki <[EMAIL PROTECTED]>:
> > > Ola. Instalei o ossec no meu servidor de internet e o cliente na minha
> > > esta��o. Ele est� mandando emails e monitorando os logs corretamente,
> por�m,
> > > pelo que eu andei checando, ele n�o est� bloqueando os ips no
> > > /etc/hosts.deny. Temo como configurar o ossec, para que depois de 4
> > > tentativas de ssh, ele bloqueie por completo o acesso ao meu servidor ?
> >
> > Do you know about sshguard or denyhosts?
> > --
> > Kristian Erik Hermansen
> > "Know something about everything and everything about something."
> >
> >
> > Mas uma coisa, o denyhost nao sei como anda, mas ele tinha uma falha para
> ataques DoS. Era so um problema com uma expressao regular, que vc pode
> ajeitar no codigo fonte. Se alguem usar e tiver desatualizado recomendo ver
> se isso ja foi corrigido. Se nao foi, e so alterar a regex que cuida dos
> logs. Qq detalhe, procurem saber :D
> >
> >
> >
> > --
> > Adote um pinguim, saiba como! Me mande um e-mail demonstrando interesse!
> >
> > http://www.slackware.com
> > http://img365.imageshack.us/img365/8483/snapshot3ak6.png
> > U.L. : 450347
> > Fnord
> > > >
> >
>
--
=========================
Rodrigo Montoro (Sp0oKeR
Security Researcher
SnortCP / RHCE / LPIC-I / MCSO
http://www.spookerlabs.com.br
=========================
--~--~---------~--~----~------------~-------~--~----~
GUS-BR - Grupo de Usuários de Slackware Brasil
http://www.slackwarebrasil.org/
http://groups.google.com/group/slack-users-br
-~----------~----~----~----~------~----~------~--~---
