我想在运行某个 iptables DROP 规则时调用发送电子邮件(或运行特定脚本,如果可能的话)。(例如,当我在 5 次 SSH 登录失败后阻止 IP 时,我想运行或类似的东西。有没有办法直接让 iptables 执行这个?mail -s "SSH Blocked" [email protected]
如果没有,那么我想我需要使用外部工具扫描日志,然后发送电子邮件。有推荐的工具吗?请注意,我正在使用,systemd
而journalctl
不是老式的日志文件。
答案1
我已经使用了 ossec hids 超过 5 年,用来向系统管理员提醒此类(以及许多其他)事件。http://www.ossec.net) 由趋势科技资助。
Ossec 通过实时扫描日志进行阻止和警报。您可以将其安装在本地机器上,也可以安装在另一台服务器上。它可以用作中央系统日志服务器。大多数功能都可以根据您的需要进行定制。对于日志聚合和检查(PCI 环境中需要),我发现没有太多其他应用程序能够超越 Ossec 提供的功能。