【wazuh】wazuh学习笔记_wazuh disable-account

1. 主动响应

主动响应：执行各种对策来解决威胁，下面是一些执行对策的脚本(/var/ossec/active-response/bin目录下)。

1.1 执行策略

1.1.1 禁用用户disable-account（disable-account.c）

将用户添加到禁用列表

/usr/bin/passwd -l 用户

将用户移除禁用列表

/usr/bin/passwd -u 用户

1.1.2 防火墙拦截firewall-drop（default-firewall-drop.c）

将IP加入iptables拒绝列表

/usr/sbin/iptables -I INPUT -s 源IP -j DROP
 
/usr/sbin/iptables -I FORWARD -s 源IP -j DROP

将IP移除iptables拒绝列表

/usr/sbin/iptables -D INPUT -s 源IP -j DROP
 
/usr/sbin/iptables -D FORWARD -s 源IP -j DROP

1.1.3 防火墙拦截firewalld-drop（firewalld-drop.c）

将IP加入firewall丢弃列表

/bin/firewall-cmd --add-rich-rule="rule family=ipv4 source address=源IP drop"

将IP移除firewall丢弃列表

/bin/firewall-cmd --remove-rich-rule="rule family=ipv4 source address=源IP drop"

1.1.4 主机拒绝host-deny（host-deny.c）

将拒绝访问的IP添加到/etc/hosts.deny文件中（及时生效，但不影响已经连接的用户），如果允许访问，则在/etc/hosts.deny中删除该IP记录

ALL:IP地址

1.1.5 自定义OSSEC块（ip-customblock.c）

在自定义目录/ipblock下，创建以需要管控的IP为名的文件，例如管控IP为1.2.3.4，则创建文件：

/ipblock/1.2.3.4

如果不需要管控，则删除该文件 

1.1.6 ipfw（ipfw.c）

ipfw命令是freebsd系统中设置防火墙的命令，不做深入学习

1.1.7 npf（npf.c）

npfctl不是linux系统下命令，是其他类unix的配置防火墙的工具，不做深入学习

1.1.8 wazuh-slack（wazuh-slack.c）

1.1.9 pf（pf.c）

pfctl不是linux系统下的命令，是其他类unix的包过滤命令，不足深入学习

1.1.10 重启wazuh（restart-wazuh.c）

更改ossec.conf时自动重启wazuh

bin/wazuh-control restart

1.1.11设置空路由（route-null.c）

将IP添加到空路由，使主机无法访问该IP

route add 管控IP reject

将IP移除空路由

route del 管控IP reject