一、场景
当攻击者尝试使用字典对某一台主机的sshd服务进行暴力破解的时候,如果我们能第一时间受到攻击预警的邮件的话,对安全人员或者运维人员来说都能做出快速响应。而使用ossec恰巧可以完成这一工作,但是要做些配置修改。
二、条件
设置邮件预警的前提是你的ossec server安装了邮件服务器,用的比较多的是sendmail,安装好sendmail后
通过配置/etc/aliases即可完成将发送到root的邮件自动转发到其他外部你想转发的邮件服务器。
- 安装sendmail
- 确认/etc/aliases文件,在末尾添加一行要接收的邮件记录:root: pentest@163.com
- 刷新 newaliases
三、操作步骤
1. 确认暴力破解sshd服务时的日志特征为“SSHD authentication failed”,有的时候也可能是“SSH insecure connection attempt (scan)."具体是哪个最好实际的尝试攻击一下,找出最准确的日志特征。
2. 进入ossec规则库目录,寻找有关sshd的规则文件
3. 编辑sshd_rules.xml文件,找到特征为“SSHD authentication failed”的规则块,然后变更level级别为邮件最低预警级别。
4. 邮件预警级别的确认
# vim /var/ossec/etc/ossec.conf
5. 以上配置后,即可即时受到预警邮件。
注意事项:如果以上配置后不起作用重启一下ossec服务尝试一下。