Hallo,
folgende Problematik:
Auf einem Testsystem mit Debian 6 sowie Plesk 10.4.4 habe ich OSSEC installiert und Betrieb genommen. Überwachung läuft soweit gut und ich erhalte Emails bzgl. diverser Vorgänge. So soll es ja auch sein...
Aber...
Plesk 10.4.x hat ja leider noch einen "Bug" - es versucht auch bei externen Postfächern das Quota zu ermitteln und protokolliert dementsprechend den Fehler.
Mail von OSSEC:
Regel 1002 wäre wie folgt:
Ich könnte natürlich die Regel entfernen, jedoch weiss ich ja nicht, was mir sonst ggfs. entgehen würde.
Parallels arbeitet angeblich an einem Fix, dies jedoch laut Supportticket schon seit 9 Wochen.
Wie kann ich evtl. eine Ausregel definieren bei OSSEC?
folgende Problematik:
Auf einem Testsystem mit Debian 6 sowie Plesk 10.4.4 habe ich OSSEC installiert und Betrieb genommen. Überwachung läuft soweit gut und ich erhalte Emails bzgl. diverser Vorgänge. So soll es ja auch sein...
Aber...
Plesk 10.4.x hat ja leider noch einen "Bug" - es versucht auch bei externen Postfächern das Quota zu ermitteln und protokolliert dementsprechend den Fehler.
Mail von OSSEC:
Code:
OSSEC HIDS Notification.
2012 Mar 07 16:34:30
Received From: spassbremse1->/var/log/mail.info
Rule: 1002 fired (level 2) -> "Unknown problem somewhere in the system."
Portion of the log(s):
Mar 7 16:34:29 spassbremse1 check-quota filter[19792]: Failed to run '/usr/sbin/postalias -q mail@example.org hash:/var/spool/postfix/plesk/virtual', rc = 1Regel 1002 wäre wie folgt:
Code:
<rule id="1002" level="2">
<match>$BAD_WORDS</match>
<options>alert_by_email</options>
<description>Unknown problem somewhere in the system.</description>
</rule>Ich könnte natürlich die Regel entfernen, jedoch weiss ich ja nicht, was mir sonst ggfs. entgehen würde.
Parallels arbeitet angeblich an einem Fix, dies jedoch laut Supportticket schon seit 9 Wochen.
Wie kann ich evtl. eine Ausregel definieren bei OSSEC?