Я ищу способ защитить свой сервер от плохих парней, и в худшем случае они получат доступ к одному из пользователей. Как мне получить электронное письмо об активности? Я хотел бы получать электронное письмо, когда кто-то входит в систему (любой пользователь, поскольку никто не должен входить в систему, кроме случаев, когда кому-то действительно разрешено работать с ними). У нас есть ежечасные резервные копии наших серверов
есть ли лучшие способы получить уведомление о подозрительной активности?
Из опыта: не надо. Пожалуйста. «Активность» электронной почты оставляет скучную работу (синтаксический анализ) на вашей стороне, а это означает, что после нескольких недель ложных срабатываний вы перестаете обращать внимание. Затем, когда происходит приступ, вы его не замечаете.
Также существуют другие направления атак, которые не связаны с входом в систему: представьте, что произойдет, если кто-то воспользуется уязвимой службой и заставит ее выполнить некоторый код.
Или, если у вас есть веб-приложение, запущенное на этом сервере, и кто-то ворует учетные данные этого приложения, чтобы дублировать данные, хранящиеся в базе данных.
Или если кто-то вводит "su-user" в имя пользователя, которому разрешено работать.
Более того: даже если бы вы знали, что кто-то действительно вошел в систему, что бы вы сделали? Выключить сервер? Войти и закрыть его или ее сеанс? Ущерб может быть нанесен уже к тому времени, когда вы проснетесь и проверите почту. А что будет при восстановлении сервера из резервной копии? У вас есть время, чтобы его пропатчить?
Безопасность - это гораздо больше, чем электронная почта. Вы должны думать как плохие парни, чтобы понимать, что они могут делать, как, почему и какое из них является самым слабым звеном в цепи безопасности (подсказка: обычно оно находится между клавиатурой и стулом).
Поскольку вы упомянули debian, вот ссылка на обеспечение безопасности debian.
Ваш ответ - OSSEC. Это инструмент с открытым исходным кодом, который отслеживает ваши журналы, файлы и имеет все виды предупреждений по электронной почте, активные ответы и т. Д.
Его очень просто установить, и по умолчанию он начинает отправлять электронные письма о атаках методом грубой силы, веб-атаках и т. Д. Чтобы включить электронную почту для входа в систему, выхода из системы или чего-либо еще, достаточно быстро отредактировать файл XML.
Ссылка на сайт: http://www.ossec.net
Debian? Что касается ssh-login?
Написать сценарий, который отслеживает активность auth.log и электронной почты?
Вопрос: когда кому-то действительно разрешено работать над ними, кто им разрешает, и это предопределенный временной интервал и даты?