Como remover um IP do Wazuh block, mesmo depois de adicioná-lo à Whitelist?

Orbit Config Manager
, ,
1

Este é um procedimento adicional ao artigo “Como adicionar origens de IP na Whitelist do senhasegura?”.

Se você já adicionou um IP à Whitelist e após reiniciar o servidor senhasegura ele bloqueou o IP novamente, será necessário realizar alguns procedimentos adicionais. Este procedimento está relacionado aos IPs do próprio Cluster e também aos IPs que precisam ser adicionados à Whitelist.

AVISO

Não altere nenhuma configuração ou informação além do que foi detalhado neste artigo.

Verifique se o arquivo “rules.v4” tem uma linha para DROP OSSEC para o IP desejado:

cat /etc/iptables/rules.v4

A linha será:

-A OSSEC -s [IP] -j DROP

E aparecerá como no exemplo:

-A OSSEC -s 192.168.10.10/32 -j DROP

Verifique se o IP é o correto e abra o arquivo para edição:

vim /etc/iptables/rules.v4

Você pode deletar a linha com DROP do OSSEC usando estes passos abaixo:

  • Pressione a tecla “i” para habilitar o arquivo para edição e depois deletar os dados;
  • Ou você também pode ir para a frente da linha a ser excluída e pressionar a tecla “d” duas vezes para excluí-la.

Em seguida, salve e feche o arquivo, pressione “ESC” e “:wq”.

Após isso execute o comando abaixo:

iptables-restore < /etc/iptables/rules.v4

Além disso, verifique se o IP está inserido nas cadeias OSSEC e FORWARD no iptables :

iptables -nL OSSEC && iptables -nL FORWARD

imagem

Nesse caso, a lista de permissões não será aplicada corretamente. Portanto, limpe o respectivo IP nas cadeias:

Este é um procedimento adicional ao artigo “Como adicionar origens de IP na Whitelist do senhasegura?”.

Se você já adicionou um IP à Whitelist e após reiniciar o servidor senhasegura ele bloqueou o IP novamente, será necessário realizar alguns procedimentos adicionais. Este procedimento está relacionado aos IPs do próprio Cluster e também aos IPs que precisam ser adicionados à Whitelist.

AVISO

Não altere nenhuma configuração ou informação além do que foi detalhado neste artigo.

Verifique se o arquivo “rules.v4” tem uma linha para DROP OSSEC para o IP desejado:

cat /etc/iptables/rules.v4

A linha será:

-A OSSEC -s [IP] -j DROP

E aparecerá como no exemplo:

-A OSSEC -s 192.168.10.10/32 -j DROP

Verifique se o IP é o correto e abra o arquivo para edição:

vim /etc/iptables/rules.v4

Você pode deletar a linha com DROP do OSSEC usando estes passos abaixo:

  • Pressione a tecla “i” para habilitar o arquivo para edição e depois deletar os dados;
  • Ou você também pode ir para a frente da linha a ser excluída e pressionar a tecla “d” duas vezes para excluí-la.

Em seguida, salve e feche o arquivo, pressione “ESC” e “:wq”.

Após isso execute o comando abaixo:

iptables-restore < /etc/iptables/rules.v4

Além disso, verifique se o IP está inserido nas cadeias OSSEC e FORWARD no iptables :

iptables -nL OSSEC && iptables -nL FORWARD

imagem

Nesse caso, a whitelist não será aplicada corretamente. Portanto, limpe o respectivo IP nas cadeias:

:no_entry:Observação: O comando abaixo apenas limpa um registro do IP específico. Caso haja mais de um registro do mesmo IP, o comando deve ser executado de acordo com esta quantidade.

iptables -D <CHAIN> -s <IP> -j DROP

imagem

Por fim, certifique-se de que o IP foi removido corretamente das cadeias OSSEC e FORWARD:

imagem