有什么方法可以跟踪特定 IP 对我的服务器进行的任何网络访问(在任何端口上)?我在 Ubuntu Server 16.04 LTS 上使用简单的防火墙。
最好的情况下,我能够将解决方案挂接到脚本中,以便在任何活动发生时通过电子邮件通知我 - 但我也可以接受将结果存储在日志文件中。
任何帮助将非常感激
答案1
您正在寻找普萨德。这个地方会是一个不错的开始:https://www.thefanclub.co.za/how-to/how-install-psad-inrupt-detection-ubuntu-1604-lts-server
默认情况下,它可以对任何传入 IP 地址执行所有要求,但它通过 LOG 规则工作。如果您在 LOG 规则中匹配您要查找的 IP,并且只记录来自它的流量,则 psad 将只对此 IP 起作用。
默认情况下它也会禁止违规主机,但您可以将其设置为仅触发邮件而不触发禁止操作。