有没有什么工具可以监控 ssh 日志/var/log/secure并报告活动?
我正在寻找一些可以主动告知我用户操作并突出显示恶意活动的工具。
我不想编写基于 cron 的日志工具,因为我不知道无数的极端情况。
仅供参考,我使用 CentOS
答案1
logwatch 会密切关注并向您发送有关登录失败等的每日警报,而 fail2ban 会监视连接尝试并在 n 秒内 n 次登录失败后阻止 IP。不过,这里的选项比想象的要多。
答案2
另请查看操作系统安全评估中心。默认规则可以在以下情况下向您发送电子邮件:
创建用户:
规则:5902 触发(级别 8)->“新用户添加到系统”部分 日志的: 9 月 20 日 15:29:50 SVR015-493 useradd[22825]: 新用户:name=x,UID=507, GID=512,主页=y,shell=/sbin/nologin
多次登录尝试失败
规则:11210 触发(级别 10)->“多次登录尝试失败”。 8月23日 18:47:07 x proftpd[22934]: y(::ffff:183.106.7.2[::ffff:183.106.7.2]) - 最大登录尝试次数 (3)超出,连接被拒绝
用户首次执行 sudo
规则:5403 触发(级别 4)-> “用户首次执行 sudo。” 日志部分: 7 月 2 日 11:55:14 x sudo: y : TTY=pts/3; PWD=/home/y ; 用户=root ; 命令=/bin/su -
非法 root 登录
规则:2504 触发(级别 9)->“非法 root 登录。” 日志部分: 7 月 2 日 11:54:39 SVR4149 sshd[13558]: xxxx 拒绝 root 登录
- ...
答案3
logwatch 的默认配置应该在 CentOS 上执行此操作,使用 cron.daily 条目发送一封电子邮件,其中包含总结失败和成功登录的 SSHD 部分(以及总结从 /var/log/secure 扫描的 pam_unix 输出,显示身份验证失败、无效用户等)。