Я тестирую OSSEC HIDS в виртуальной машине на Ubuntu 18.04 server.
Прежде всего, я установил и настроил ssmtp следующим образом:
root=myapp@gmail.com
mailhub=smtp.gmail.com:587
rewriteDomain=gmail.com
hostname=localhost
TLS_CA_FILE=/etc/ssl/certs/ca-certificates.crt
UseTLS=Yes
UseSTARTTLS=Yes
AuthUser=myapp@gmail.com
AuthPass=password
AuthMethod=LOGIN
FromLineOverride=yes
Сообщения электронной почты из командной строки отправляются и принимаются, однако существуют некоторые проблемы с оповещениями по электронной почте OSSEC.
Ниже приведена часть /var/ossec/etc/ossec.conf:
<global>
<email_notification>yes</email_notification>
<email_to>myapp@gmail.com</email_to>
<smtp_server>127.0.0.1</smtp_server>
<email_from>ossecm@myserver</email_from>
<email_maxperhour>1</email_maxperhour>
</global>
Согласно документации OSSEC, программное обеспечение должно отправлять электронное письмо при запуске и после его остановки.Я получил электронное письмо после первого запуска в папке со спамом, вероятно, потому что директива email_from была установлена на неверный адрес электронной почты.В этом письме содержалось два уведомления, одно из которых «Использование раздела достигло 100% (монитор дискового пространства)».а другой про OSSEC начало.Поэтому я сказал Gmail, что это не спам, я изменил директиву email_from на myapp@gmail.com, остановил OSSEC и перезапустил ее.К сожалению, это было единственное предупреждение, которое я получил.После этого я несколько раз останавливался и запускал OSSEC, не получая оповещений по электронной почте.Я не понимаю, почему это происходит: я Gmail Blackholed?Как я уже сказал, письма из командной строки принимаются без проблем.Будет ли OSSEC получать такую же обработку на рабочем сервере с действительным доменом?