Этим утром я обнаружил, что мой веб-сервер подвергся атаке методом грубой силы. Я обнаружил это только тогда, когда произвольно проверил свой файл /var/log/auth.log и увидел входящие запросы. Есть ли у кого-нибудь совет, какие файлы журналов я должен читать на своем веб-сервере Apache? наряду с этим стоит ли отправлять себе журналы по электронной почте, чтобы я мог читать их на досуге, и если да, то какие самые простые методы для этого?
Такие инструменты, как OSSEC действительно поможет вам уловить подобные вещи, пока они происходят, вместо того, чтобы обнаруживать их на следующий день.
Кроме того, я продолжаю использовать logwatch только ради архивного дайджеста, который я могу быстро просмотреть через свой почтовый клиент.
Logwatch просканирует и отправит подробную информацию о журналах. Очень полезно для архивирования, если вам даже нужно просмотреть старые состояния. Более крупные производственные машины, как правило, требуют некоторой фильтрации вывода.
Также установите denyhosts или аналогичный, чтобы заблокировать попытки.
Просто используйте logcheck или logwatch (я предпочитаю logcheck), чтобы отфильтровать все, что вы не хотите видеть, а остальное будет отправлено вам по электронной почте. Очень полезно, должно работать на каждом сервере.
Проверьте нижнюю часть /etc/aliases и добавьте свой адрес электронной почты внизу:
Person who should get root's mail
root: you@email.com
Убедитесь, что sendmail или postfix работают, чтобы вы действительно получили письмо.
В зависимости от того, сколько ящиков вы хотите отслеживать, вам может потребоваться централизованная система мониторинга журналов. Я лично использую его даже для небольших развертываний просто потому, что гораздо удобнее иметь доступ ко всем моим журналам (не только apache) и возможность поиска централизованно.
Такие инструменты, как Splunk сделать это очень простым и довольно приятным в использовании.