Linux中是否存在安全入侵报告工具? 一些会(login后)报告安全/系统改变这样的事情:
Failed Login Attempts: jsmith from 1.2.3.4 against example-host performed 37 times Account changes: New user: name=c0rt3z uid=1050 ... PS:对不起,如果这是重复的,我不知道如何这种types的东西在Linux命名
很难回答你的问题,因为它是如此普遍。 Linux中有很多安全function,其中一些是由基本操作系统提供的,另一些是由独立应用程序提供的。 这些细节在不同的发行版中有所不同,所以如果不知道你使用的是什么Linux发行版,很难提出具体的build议。
我强烈build议您从发行版的安全指南或一般文档开始。
一些想法让你开始:
auth.log :authentication信息logging在这里 ~/.bash_history )。 我能想到的最简单的方法是避免使用严肃的审计工具,只需安装logwatch即可 。
然后,您可以接收每日电子邮件列表(在许多有用的信息中),login尝试失败的摘要以及新创build的用户和组。
我想你要找的是Samhain 。 它会监视你的系统的变化并通知你,但是比只要你login时有点积极主动。
我曾经使用过奥西里斯这种东西,但是它已经有几年没有更新过了。
顺便说一下,这种安全审计称为主机完整性监视 。
有很多方法可以保护您的服务器免受“暴力”攻击。 其中一些方法实施起来比较困难,但从长远来看可以给你更好的安全性。
如果你想要一个真正简单的解决scheme,你可以实现Fail2Ban 。 对于更高级的东西,你可以通过使用iptables hashlimits来实现相同的基本function。
您还可以在sshd中禁用基于密码的身份validation,将其移至非标准端口,或设置适当的防火墙。
因为这个问题真的落在了一个创造了整个行业的兔子洞,我build议你看看你的Linux发行版的安全指南。 Ubuntu指南是一个好的开始。
没有人提到OSSEC 。
一些例子:
FTP服务器:
Received From: (x) 192.168.4.x->/var/log/secure Rule: 11210 fired (level 10) -> "Multiple failed login attempts." Portion of the log(s): Jul 23 22:52:50 x proftpd[5243]: x.localdomain (::ffff:xxxx[::ffff:xxxx]) - Maximum login attempts (3) exceeded, connection refused
SSH服务器:
Sep 17 12:38:00 x sshd[6995]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=x user=y
和networking服务器:
Received From: x->/var/log/httpd/error_log Rule: 30109 fired (level 9) -> "Attempt to login using a non-existent user." Portion of the log(s): [Fri Dec 03 23:27:59 2010] [error] [client x] user mBGq7XfBP7ZPs not found: /