Назад | Перейти на главную страницу

Монитор журнала ssh

Есть ли какие-либо инструменты для мониторинга журналов ssh на /var/log/secure и сообщить о деятельности?

Я ищу инструменты, которые будут заранее сообщать мне о действиях пользователей и выделять вредоносную активность.
Я не хочу писать инструмент для ведения журнала на основе cron, так как мне неизвестны многочисленные крайние случаи.

К вашему сведению, я использую CentOS

Также взгляните на OSSEC. Правила по умолчанию могут отправлять вам электронное письмо, когда:

  • создается пользователь:

       Rule: 5902 fired (level 8) -> "New user added to the system" Portion
       of the log(s):
    
       Sep 20 15:29:50 SVR015-493 useradd[22825]: new user: name=x, UID=507,
       GID=512, home=y, shell=/sbin/nologin
    
  • Несколько неудачных попыток входа в систему

       Rule: 11210 fired (level 10) -> "Multiple failed login attempts." 
    
       Aug 23 18:47:07 x proftpd[22934]:
       y(::ffff:183.106.7.2[::ffff:183.106.7.2]) - Maximum login attempts
       (3) exceeded, connection refused
    
  • Пользователь впервые выполнил sudo

       Rule: 5403 fired (level 4) -> "First time user executed sudo."
       Portion of the log(s):
    
       Jul  2 11:55:14 x sudo:   y : TTY=pts/3 ;
    PWD=/home/y ; USER=root ; COMMAND=/bin/su -
    
  • Незаконный вход root

       Rule: 2504 fired (level 9) -> "Illegal root login. "
       Portion of the log(s):
    
       Jul  2 11:54:39 SVR4149 sshd[13558]: ROOT LOGIN REFUSED FROM x.x.x.x
    
  • ...

logwatch будет следить и отправлять вам ежедневные предупреждения о неудачных попытках входа в систему и т. д., а fail2ban будет отслеживать попытки подключения и блокировать IP-адрес после n неудачных попыток входа в систему в течение n секунд. здесь есть больше вариантов, чем было бы разумно встряхнуть палкой.

Конфигурация logwatch по умолчанию должна делать это в CentOS, с записью cron.daily для отправки электронного письма, которое будет содержать раздел SSHD, содержащий сводку неудачных и успешных входов в систему (а также суммирующий вывод pam_unix, сканированный из / var / log / secure, с указанием ошибок аутентификации , недействительные пользователи и т. д.).