服务器 Gind.cn
  1. 服务器 Gind.cn
  3. 如果somone试图侵入Linux服务器,我该如何得到通知?
Intereting Posts
build筑咨询 – networking摄像机远程访问 为无头服务器设置LiveCD + USB驱动器启动组合 Windows共享需要密码 从15.04升级到Ubuntu 15.10后,EC2 Web服务器崩溃 允许匿名访问Jenkins中作业的config.xml 在Linux中从分区创build逻辑卷 为什么tracert不能显示与ipconfig相同的网关地址 无法连接到MySQL使用本地主机,但使用“127.0.0.1”没关系? 系统重启作业的条件 用ssh远程configuration文件运行一个本地脚本 在系统崩溃后,solaris zfs不会从另一个系统导入池 基于事实的参数化的可靠命令,怎么做? 停止cron发送邮件到特定进程的根目录 使用完全限定的URL对本地服务器上的IIS进行Windows身份validation 以约1000个字符的标记将感叹号插入电子邮件中

如果somone试图侵入Linux服务器,我该如何得到通知?

如果我们的Linux服务器遭到任​​何黑客攻击或服务攻击,我希望通过电子邮件得到通知。 是否有一种可以监控可疑活动的一体化解决scheme,并将所述活动的报告发送到一个电子邮件地址?

如果你担心攻击,简单的监控是不够的。 想象一下凌晨2点袭击,或者每当你离开时钟睡着的时候。 在检查电子邮件之前,可以进行多less次密码猜测?

太多了。 fail2ban和其他程序将自动执行您所要的策略。 Logwatch可以寻找exception的行为,但主要是为了发现logging的错误。

我使用logwatch进行日志监视以查找可疑的login活动。 我把系统locking得很紧,所以我大多“抓住”我们的安全办公室进行定期扫描。 还有一个开源的TripWire版本,可以用来监控对所选文件的更改,尽pipe这个版本只有在它们入侵之后才会有用,让你知道什么被攻破了。

我想你正在寻找嗅觉

这是一个入侵检测系统ID

需要一些configuration,然后进行调整以最大限度地减less虚假警报(或解决问题),但是有很多工具可以帮助解决这个问题。 也有网站,你可以订阅新的“规则”,以保持在最新的黑客之上。

除此之外,您可能还想使用snort日志分析器,如 。 我觉得还有一个叫做sguil的一体化gui解决scheme,你可能想看看。

我很惊讶OSSEC没有被提及 – 这是另一个主机的IDS。

ossec.net

玩笑

您应该考虑设置内核来监视邪恶位 。 我不确定Linux,但支持直接构build到FreeBSD !

在进一步考虑我的build议之前,请检查RFC链接上的date。

我想你可能想重新考虑每一次不成功的黑客攻击事件。 如果每次有人在四处寻找漏洞时都需要电子邮件,那么您可能会遇到相当大的洪水 。

四台具有易受攻击密码的Linux计算机在线24小时,以确定攻击的趋势。 这是研究人员在马里兰大学进行研究的准备。 据他的观察,计算机收到了27万次黑客攻击。 每39秒就有一次尝试

如果你在运行selinux运行了setroubleshoot ,那么任何经过正常防御的攻击都会触发一个popup窗口。 我已经有一次攻击使它成为selinux ,并被selinuxclosures,如果不是警惕,我也不知道。 来自警报的一点研究使我得到了有关这个软件包的build议,我并不需要这么做,所以我卸载了它。

我使用sshdfilter来阻止ssh攻击,并且每次检测到攻击时都会发送一封电子邮件给我。 大多数情况下,我每天收到两个通知。

看看ossim,它是一个OpenSource IDS / Analysis系统,用于* nix服务器的事件关联,连接跟踪和会话监控,并且可以为您提供当前安全级别的全面概览视图。

我听说过有关Tripwire的一些好东西,但从来没有尝试过。

“Samhain是集中式主机完整性监控的综合性开源解决scheme。” – http://www.la-samhna.de

我使用Denyhosts 。 易于设置,非常有效。

它寄给你这样的东西:

将以下主机添加到/etc/hosts.deny:

144.16.111.105(不详)

我在Linux服务器上使用了Denyhosts,Logwatch和限制性防火墙的组合。

首先,绝对不要让Denyhosts为你发送的每封IP邮件发送一封邮件。 如果您受到僵尸networkingSSH攻击(因为我的个人服务器已成功进行了多次风险处理),这意味着通知太多。 如果LogWatchconfiguration正确,则会在每日电子邮件中包含拒绝主机活动的报告。 如果保持默认的服务=全部,这应该自动发生。

另外,在服务器的根目录下创build一个名为.forward的文本文件。 在其中,把你想要的地址转发到根目录的电子邮件。 即使您只有几台服务器,将所有日常LogWatch消息放在一个地方也比单独login每个服务器并使用“Mail”更容易。

最后,在敏感的工作机器上,我设置了iptables来阻止除特定白名单的IP地址之外的所有stream量。 来自本地VLAN的stream量是不受限制的,我有一个bash脚本来build立我的iptables规则,并根据configuration文件将某些IP列入白名单。 (这比在脚本本身中维护白名单要容易得多)。对于我来说,可以根据需要为任何端口和/或协议创build白名单,这足够可扩展:例如,tcp_22_access包含SSH访问的IP允许的。

有一个安全的服务器是一回事,一个不容易被破解的服务器。 所以基本上,你想知道服务器是否受到攻击,即DOS或DDOS。

我build议在Google上关注这个主题,或者在这个领域得到人们的意见。 那里有很多。

我已经使用过的每个软件包都已经被列出,但是我只想提出一个关于你的第二个请求的观点:

每次遇到自动攻击时,是否真的想要通过电子邮件发送?

无论什么时候你通过电子邮件或短信立即通知你,问自己两个问题:

我可以做什么来响应这个通知,当我不这样做? 如果您每次都以相同的方式回应,您应该使用类似Fail2Ban的触发器系统(自动将login失败的IP列入黑名单)。 如果您永远不会立即回复通知,则可能是日常摘要电子邮件,或者只是某个警报系统中的日志。

在任何基于警报的系统中保持高信噪比。 如果你每天收到5至10封电子邮件,让你知道一些无所事事的世俗“攻击”,那么让重要的事情通过裂缝变得容易很多。