Bonjour à tous,
Je suis actuellement en train de monter un projet avec un HIDS (OSSEC) pour mettre en place une sécurité dans mon réseau. Mais je rencontre quelque soucis avec cela notamment avec les
active-response. Alors concrètement, je vais commencer par la base, j'essaie de créer une
rule qui me permettra de détecter et d'alerter les extensions PHP dans le dossier
/var/www/html.
LOG : Fri 15 Jan 2021 08:13:09 PM INFO: /var/www/html/[var.php ]
Voici mon decoder.xml qui permettra de décoder et parser mon log :
Ensuite mon fichier rule.xml :
Mon fichier ossec.conf :
Et enfin mon fichier
mail-test.sh :
Je pense que le problème doit venir du fichier
ossec.conf, il ne veut pas exécuter ma commande
mail-test.sh, depuis presque hier j'essaie de faire exécuter la commande par OSSEC mais sans succès, je me demande si j'ai manqué quelque chose ou manqué une configuration.
Modération - Images à remplacer par le texte entre balises code (explications ici)
