SSH日志监控

logwatch 会密切关注并向您发送有关登录失败等的每日警报，而 fail2ban 会监视连接尝试并在 n 秒内 n 次登录失败后阻止 IP。不过，这里的选项比想象的要多。

另请查看操作系统安全评估中心。默认规则可以在以下情况下向您发送电子邮件：

• 创建用户：

     规则：5902 触发（级别 8）->“新用户添加到系统”部分
     日志的：
  
     9 月 20 日 15:29:50 SVR015-493 useradd[22825]: 新用户：name=x，UID=507，
     GID=512，主页=y，shell=/sbin/nologin
  

• 多次登录尝试失败

     规则：11210 触发（级别 10）->“多次登录尝试失败”。
  
     8月23日 18:47:07 x proftpd[22934]:
     y(::ffff:183.106.7.2[::ffff:183.106.7.2]) - 最大登录尝试次数
     （3）超出，连接被拒绝
  

• 用户首次执行 sudo

     规则：5403 触发（级别 4）-> “用户首次执行 sudo。”
     日志部分：
  
     7 月 2 日 11:55:14 x sudo: y : TTY=pts/3；
  PWD=/home/y ; 用户=root ; 命令=/bin/su -
  

• 非法 root 登录

     规则：2504 触发（级别 9）->“非法 root 登录。”
     日志部分：
  
     7 月 2 日 11:54:39 SVR4149 sshd[13558]: xxxx 拒绝 root 登录
  

• ...

logwatch 的默认配置应该在 CentOS 上执行此操作，使用 cron.daily 条目发送一封电子邮件，其中包含总结失败和成功登录的 SSHD 部分（以及总结从 /var/log/secure 扫描的 pam_unix 输出，显示身份验证失败、无效用户等）。