Есть ли способ отслеживать любой сетевой доступ (на любом порту) к моему серверу с определенного IP-адреса? Я использую Ubuntu Server 16.04 LTS и использую несложный брандмауэр.
Желательно, чтобы я мог привязать любое решение к сценарию, чтобы отправлять мне электронное письмо всякий раз, когда происходит какое-либо действие, но вместо этого я буду в порядке, если результаты будут сохранены в файле журнала.
Любая помощь приветствуется
Ты ищешь psad. Это место было бы хорошим началом: https://www.thefanclub.co.za/how-to/how-install-psad-intrusion-detection-ubuntu-1604-lts-server
По умолчанию он может делать все, что вы просите, для любого входящего IP-адреса, но он работает через правило LOG. Если вы сопоставите IP-адрес, который ищете в правиле LOG, и просто регистрируете трафик с него, psad будет работать только для этого IP-адреса.
По умолчанию он также блокирует хост-нарушитель, но вы можете настроить его так, чтобы он запускал только почту и не запрещал действия.