ossec的规则需要根据你的情况进行优化,在适当情况下还需要编写自己的规则; 3. ossec 的报警邮箱设置不提供 smtp 认证的 username 和 password 选项,而网络上的邮 件服务器都关闭了open relay功能,所以在使用上存在麻烦。本文中使用的是gmail邮箱, 它不需要认证就可以发送,这也是 gmail 存在大量垃圾邮件的原因。较好的解决办法是在 ossec服务器上装mta 限制只能本机发送。 4. ossec通过netstat检测端口寻找rookit的时候存在bug,会导致在某些服务器上存在 大量误报; 5. ossec提供了一种框架与思路,你可以根据自己的需要进行扩展,也可以提出自己的解 决方案,比如网上有类似ossec+splunk插件等; 还是那句话,安全是一个过程,事前防范、事中监控、事后审计都需要有。 
|
