自从上个星期以来,我运行一个web服务器(Ubuntu上的Apache2,只能通过IP访问),我认为我现在最容易受到攻击,所以我不知道要注意些什么,所以我只会问专家案件。
在查看访问日志时,我可以追溯大部分对自己的访问。 然后有几个天真的单一的GET请求,但也有一些更可疑的访问:wget访问configuration文件,预期的PHP注入攻击,打算访问什么样的数据库服务器等。所有这些请求被拒绝顺便说一句。
除了保持软件更新等,我应该做些什么,如报告或采取额外的安全措施? 我应该继续监视访问日志吗?
您可能想要了解fail2ban :它是一个监视日志文件可疑活动的软件,并且可以无限期地禁止始发IP地址所需的时间。 它还能够向您发送电子邮件通知,其中包含威胁详情和采取的措施。
Fail2ban扫描日志文件(例如/ var / log / apache / error_log),并禁止显示恶意标志的IP地址 – 密码过多失败,寻找漏洞利用等。一般来说,Fail2Ban会被用来更新防火墙规则来拒绝IP地址在指定的时间内,也可以configuration任何其他任何动作(如发送电子邮件)。 开箱即用Fail2Ban带有各种服务(apache,courier,ssh等)的filter。