Linux 中是否存在类似安全入侵报告工具的东西?它可以报告(登录后)安全/系统更改,如下所示:
Failed Login Attempts:
jsmith from 1.2.3.4 against example-host performed 37 times
Account changes:
New user: name=c0rt3z uid=1050
...
PS:抱歉,如果这是重复的,我不知道 Linux 中这种类型的东西是如何命名的
答案1
很难回答您的问题,因为它太笼统了。Linux 中存在许多安全功能,其中一些由基本操作系统提供,另一些由独立应用程序提供。这些功能的具体细节因发行版而异,因此如果不知道您使用的 Linux 发行版,就很难提出具体的建议。
我强烈建议您从发行版的安全指南或通用文档开始。
以下是一些可以帮助您入门的想法:
- 这系统日志设施,具体来说
auth.log
:身份验证信息记录在这里 - 日志监视:一款帮助您对日志文件进行排序和解析的工具,以查找您关心的信息
- 失败禁止:自动删除登录失败次数超过阈值的客户端的 IP 地址
- 绊线:监视文件的变化
- 应用装甲, 或者SELinux:应用程序和内核的强制访问控制机制。
- 已审核:用户空间文件修改审计(类似于tripwire)
- Shell 历史记录(例如
~/.bash_history
)。
答案2
我能想到的最简单的方法就是安装日志监视。
然后,您可以收到每日电子邮件列表(包含许多有用的信息)失败的登录尝试摘要以及新创建的用户和组。
答案3
我认为你要找的是萨温节它会监视您的系统变化并通知您,但它比您每次登录时通知更主动一些。
我曾经使用 Osiris 来做这种事,但它已经好几年没有更新了。
顺便说一下,这种安全审计被称为主机完整性监控。
答案4
没有人提到操作系统安全评估中心。
一些例子:
FTP 服务器:
Received From: (x) 192.168.4.x->/var/log/secure
Rule: 11210 fired (level 10) -> "Multiple failed login attempts."
Portion of the log(s):
Jul 23 22:52:50 x proftpd[5243]: x.localdomain (::ffff:x.x.x.x[::ffff:x.x.x.x]) - Maximum login attempts (3) exceeded, connection refused
SSH 服务器:
Sep 17 12:38:00 x sshd[6995]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=x user=y
和网络服务器:
Received From: x->/var/log/httpd/error_log
Rule: 30109 fired (level 9) -> "Attempt to login using a non-existent user."
Portion of the log(s):
[Fri Dec 03 23:27:59 2010] [error] [client x] user mBGq7XfBP7ZPs not found: /