在 Gentoo Linux 中监控 SSH 访问最有效的方法是什么?
我的 Gentoo 盒子在我的宽带路由器后面本地运行。我的路由器上有 SSH 端口转发,并且有一个指向互联网上我的路由器的 DNS 条目。有没有办法默默地记录我的 Gentoo 盒子的传入连接来自哪个外部域/IP?
同样,记录进出此盒子的所有网络流量而又不产生噪音的最佳方法是什么?
答案1
用户授权事件通常由系统日志守护程序记录在 /var/log 中。默认位置因发行版而异,但通常是 /var/log/auth、/var/log/auth.log、/var/log/secure。我手头没有 Gentoo 系统,但默认安装使用 syslog-ng 并将这些事件记录到 /var/log/auth.log。
审计网络流量的方法有很多种,最好的方法取决于您需要保留的详细程度以及可以使用哪种附加设备来完成监控。
如果您担心系统受到损害的风险,则应考虑将您选择的任何审核解决方案转发到您正在监视的系统无法访问的另一个系统(日志记录除外)。成功的攻击者可能会从本地日志系统中删除其违规的证据。
答案2
您有很多解决方案可以做到这一点,例如,iptraf包tcpdump 可以存储您的数据包。