我需要一个记录对我的服务器的入侵尝试的日志文件。理想情况下,此日志应包含所有尝试,包括登录、HTTPD 活动、FTP 活动、NFS 和其他常规开放端口。但是,对我来说,有 HTTPD、FTP 和 NFS 就足够了。
CentOS(最好是内置的)中是否有这样的服务(或日志文件)?
答案1
没有包含记录所有这些内容的单个日志文件。您需要浏览所有日志并提取单行。当然,您可以使用正则表达式来实现这一点。
您可能想要选择在您的机器上使用 OSSEC。这是一个基于主机的入侵检测系统,它实际上会记录服务器上的所有恶意登录尝试。甚至更好的是:当他们试图暴力破解您的机器时,它会阻止 IP。
答案2
以下是日志文件。
网址:
/var/log/httpd/access.log
- 有关谁访问了您的网站的所有信息。
/var/log/httpd/error.log
- 您的网站的所有错误日志都存储在那里。
这也取决于虚拟主机配置您为日志定义的文件,默认文件如上所述。
安全:
所有安全相关日志存储在
/var/log/secure
系统日志:系统范围的消息存储在
/var/log/messages
邮件日志:邮件日志存储在
/var/log/maillog
FTPD 客户端:ftp 日志文件取决于您的配置。xferlog_file=/var/log/xferlog
如果您正在使用 vsftpd,请查看并启用xferlog_enable=YES
最好配置失败2ban用于日志文件监控。
答案3
您(可能)想要的是“主机入侵检测系统”。搜索该术语(和 Linux)以查看可用的内容。