本文主要是介绍【wazuh】wazuh学习笔记,希望对大家解决编程问题提供一定的参考价值,需要的开发者们随着小编来一起学习吧!
1. 主动响应
主动响应:执行各种对策来解决威胁,下面是一些执行对策的脚本(/var/ossec/active-response/bin目录下)。
1.1 执行策略
1.1.1 禁用用户disable-account(disable-account.c)
将用户添加到禁用列表
/usr/bin/passwd -l 用户将用户移除禁用列表
/usr/bin/passwd -u 用户1.1.2 防火墙拦截firewall-drop(default-firewall-drop.c)
将IP加入iptables拒绝列表
/usr/sbin/iptables -I INPUT -s 源IP -j DROP/usr/sbin/iptables -I FORWARD -s 源IP -j DROP将IP移除iptables拒绝列表
/usr/sbin/iptables -D INPUT -s 源IP -j DROP/usr/sbin/iptables -D FORWARD -s 源IP -j DROP1.1.3 防火墙拦截firewalld-drop(firewalld-drop.c)
将IP加入firewall丢弃列表
/bin/firewall-cmd --add-rich-rule="rule family=ipv4 source address=源IP drop"将IP移除firewall丢弃列表
/bin/firewall-cmd --remove-rich-rule="rule family=ipv4 source address=源IP drop"1.1.4 主机拒绝host-deny(host-deny.c)
将拒绝访问的IP添加到/etc/hosts.deny文件中(及时生效,但不影响已经连接的用户),如果允许访问,则在/etc/hosts.deny中删除该IP记录
ALL:IP地址1.1.5 自定义OSSEC块(ip-customblock.c)
在自定义目录/ipblock下,创建以需要管控的IP为名的文件,例如管控IP为1.2.3.4,则创建文件:
/ipblock/1.2.3.4如果不需要管控,则删除该文件
1.1.6 ipfw(ipfw.c)
ipfw命令是freebsd系统中设置防火墙的命令,不做深入学习
1.1.7 npf(npf.c)
npfctl不是linux系统下命令,是其他类unix的配置防火墙的工具,不做深入学习
1.1.8 wazuh-slack(wazuh-slack.c)
1.1.9 pf(pf.c)
pfctl不是linux系统下的命令,是其他类unix的包过滤命令,不足深入学习
1.1.10 重启wazuh(restart-wazuh.c)
更改ossec.conf时自动重启wazuh
bin/wazuh-control restart1.1.11设置空路由(route-null.c)
将IP添加到空路由,使主机无法访问该IP
route add 管控IP reject将IP移除空路由
route del 管控IP reject这篇关于【wazuh】wazuh学习笔记的文章就介绍到这儿,希望我们推荐的文章对编程师们有所帮助!
