如果有人试图入侵 Linux 服务器,我如何收到通知?

如果有人试图入侵 Linux 服务器,我如何收到通知?

如果我们的 Linux 服务器遭受任何类型的黑客攻击或服务攻击,我希望通过电子邮件收到通知。是否有某种一体化解决方案可以监控可疑活动并将该活动的报告发送到电子邮件地址?

答案1

如果您担心受到攻击,简单的监控是不够的。想象一下,凌晨 2 点或您下班睡觉时发生攻击。在您查看电子邮件之前,可以猜出多少次密码?

太多了。失败2ban和其他程序将自动执行您所追求的策略。Logwatch 可以查找异常行为,但它主要用于发现已记录的错误。

答案2

我使用以下方式进行日志监控日志监视寻找可疑的登录活动。我把系统锁定得非常严密,所以我基本上能“发现”我们的安全办公室在进行定期扫描。还有一个TripWire 的开源版本这对于监视所选文件的更改很有用,但这仅在他们闯入后才有用,以便让您知道哪些文件已被破坏。

答案3

我想你正在寻找呼噜

这是一个入侵侦测系统或者ids

需要进行一些配置和调整,以尽量减少误报(或解决问题),但有许多工具可以帮助实现这一点。还有一些网站,您可以在其中订阅新的“规则”,以便掌握最新的黑客攻击。

除此之外,你可能需要使用 snort 日志分析器,例如根据或者。我认为还有一个一体化 GUI 解决方案,称为斯吉尔您可能也想看看。

答案4

您应该考虑设置内核来监控邪恶位。我不确定 Linux,但支持直接内置在FreeBSD

在进一步考虑我的建议之前,请检查 RFC 链接上的日期...

相关内容