我正在寻找一种方法来保护我的服务器免受坏人的影响,最坏的情况是他们可以访问其中一个用户,我如何收到活动邮件? 我想在有人login时收到一封电子邮件(任何用户,因为没有人应该login到他们,除非有人真正允许他们工作)。我们每小时都备份我们的服务器
有没有更好的方法来通知可疑活动正在进行?
你的答案是OSSEC。 这是一个开源工具,可以监控你的日志,文件,并有各种电子邮件警报,主动回应等。
这是非常简单的安装,默认情况下,它将开始发送暴力攻击,基于Web的攻击等电子邮件。为了使login,注销,或其他任何邮件只是一个快速编辑XML文件的问题。
链接: http : //www.ossec.net
出于经验:不。 请。 电子邮件的“活动”将枯燥的工作(parsing)留在您身边,这意味着在几周的误报之后,您不再关注了。 那么当攻击发生时,你不会注意到它。
还有其他攻击媒介不会涉及login:想象一下,如果有人利用易受攻击的服务,并诱使它执行一些代码,会发生什么。
或者,如果您有一个在该服务器上运行的Web应用程序,并且某人盗取了该应用程序凭据来复制存储在数据库中的数据。
或者,如果有人把一个“su – 用户”变成允许工作的用户名。
此外,即使你知道有人login,你会怎么做? closures服务器? login并closures他或她的会话? 当你醒来并检查你的邮件时,可能已经造成了损坏。 当你从备份中恢复服务器会发生什么? 你有时间修补它吗?
安全不仅仅是一封电子邮件。 你必须像坏人那样去思考他们能做什么,如何,为什么,哪一个是安全链最薄弱的环节(提示:它通常位于键盘和椅子之间)。
既然你提到debian,这里有一个确保debian安全的链接。
Debian的? 关于sshlogin?
写一个脚本来监视auth.log和电子邮件活动给你?
问题是:什么时候有人真的允许他们工作,谁允许他们,这是一个预定义的时间间隔和date?