호스트 거부 명령을 사용하여 600초 이상의 경고 수준에서 IP를 차단하도록 OSSEC 사전 대응을 구성하려고 합니다.
<active-response>
<command>host-deny</command>
<location>local, server</location>
<level>10</level>
<timeout>3600</timeout>
</active-response>
다음 코드에 시간 범위를 추가하고 x초 내에 최소 600초 이상 동안 3개의 경고를 표시할 수 있지만 더 이상 활동이 없으면 y초 후에 차단을 해제할 수 있습니다.
또한 전역 구성 대신 서버의 로컬 구성에서 특정 IP를 화이트리스트에 추가할 수 있습니까?