我正在寻找一种方法来保护我的服务器免受坏人的攻击,最坏的情况是他们能够访问某个用户,我如何接收活动电子邮件?我希望在有人登录时收到一封电子邮件(任何用户,因为任何人都不应该登录,除非有人真正被允许在服务器上工作)我们每小时备份一次服务器
有没有更好的方法来获知正在发生的可疑活动?
答案1
答案是 OSSEC。它是一种开源工具,可监控您的日志、文件,并具有各种电子邮件警报、主动响应等。
它的安装非常简单,默认情况下,它会在发生暴力攻击、基于网络的攻击等时开始发送电子邮件。要启用用于登录、注销或其他任何操作的电子邮件,只需快速编辑 XML 文件即可。
答案2
经验告诉我:千万不要。千万不要。电子邮件“活动”会把枯燥的工作(解析)留给你,这意味着经过几周的误报后,你就会停止关注。然后当攻击发生时,你就不会注意到它。
此外,还有其他不涉及登录的攻击媒介:想象一下如果有人利用易受攻击的服务并诱骗其执行某些代码会发生什么。
或者,如果您在该服务器上运行 Web 应用程序,并且有人窃取该应用程序凭据来复制存储在数据库中的数据。
或者如果有人执行“su - user”输入允许使用的用户名。
此外:即使你知道有人确实登录了,你会怎么做?关闭服务器?登录并关闭他或她的会话?当你醒来并检查邮件时,损害可能已经造成。当你从备份中恢复服务器时会发生什么?你有时间修补它吗?
安全不仅仅是一封电子邮件。你必须像坏人一样思考,才能了解他们能做什么、如何做、为什么做,以及哪一个是安全链中最薄弱的环节(提示:它通常位于键盘和椅子之间)。
既然你提到了 debian,这里有一个链接确保 Debian 安全。
答案3
Debian?关于 ssh-login?
编写一个脚本来监控 auth.log 并向您发送电子邮件活动?
问题是:什么时候才允许某人真正地处理这些问题,谁允许他们这样做,以及这是一个预先定义的时间间隔和日期吗?