Есть ли какие-либо инструменты для мониторинга журналов ssh на /var/log/secure
и сообщить о деятельности?
Я ищу инструменты, которые будут заранее сообщать мне о действиях пользователей и выделять вредоносную активность.
Я не хочу писать инструмент для ведения журнала на основе cron, так как мне неизвестны многочисленные крайние случаи.
К вашему сведению, я использую CentOS
Также взгляните на OSSEC. Правила по умолчанию могут отправлять вам электронное письмо, когда:
создается пользователь:
Rule: 5902 fired (level 8) -> "New user added to the system" Portion of the log(s): Sep 20 15:29:50 SVR015-493 useradd[22825]: new user: name=x, UID=507, GID=512, home=y, shell=/sbin/nologin
Несколько неудачных попыток входа в систему
Rule: 11210 fired (level 10) -> "Multiple failed login attempts." Aug 23 18:47:07 x proftpd[22934]: y(::ffff:183.106.7.2[::ffff:183.106.7.2]) - Maximum login attempts (3) exceeded, connection refused
Пользователь впервые выполнил sudo
Rule: 5403 fired (level 4) -> "First time user executed sudo." Portion of the log(s): Jul 2 11:55:14 x sudo: y : TTY=pts/3 ; PWD=/home/y ; USER=root ; COMMAND=/bin/su -
Незаконный вход root
Rule: 2504 fired (level 9) -> "Illegal root login. " Portion of the log(s): Jul 2 11:54:39 SVR4149 sshd[13558]: ROOT LOGIN REFUSED FROM x.x.x.x
logwatch будет следить и отправлять вам ежедневные предупреждения о неудачных попытках входа в систему и т. д., а fail2ban будет отслеживать попытки подключения и блокировать IP-адрес после n неудачных попыток входа в систему в течение n секунд. здесь есть больше вариантов, чем было бы разумно встряхнуть палкой.
Конфигурация logwatch по умолчанию должна делать это в CentOS, с записью cron.daily для отправки электронного письма, которое будет содержать раздел SSHD, содержащий сводку неудачных и успешных входов в систему (а также суммирующий вывод pam_unix, сканированный из / var / log / secure, с указанием ошибок аутентификации , недействительные пользователи и т. д.).