有没有工具来监视/var/log/secure ssh日志并报告活动?
我正在寻找一些工具,主动告诉我有关用户操作和突出恶意活动的信息。
我不想写一个基于cron的日志工具,因为我不知道的边缘情况。
仅供参考,我使用CentOS
logwatch会留意每天发送有关失败login等的警报,fail2ban将监控连接尝试,并在n次失败login后阻止IP。 虽然这里有更多的select比明智地摇动棒。
另外看看OSSEC 。 默认规则可以在以下情况下向您发送电子邮件
用户被创build:
规则:5902发射(级别8) - >“新用户添加到系统”部分
的日志:
Sep 20 15:29:50 SVR015-493 useradd [22825]:new user:name = x,UID = 507,
GID = 512,home = y,shell = / sbin / nologin
多次失败的login尝试
规则:11210被解雇(10级) - >“多次失败的login尝试。
8月23日18:47:07 x proftpd [22934]:
y(:: ffff:183.106.7.2 [:: ffff:183.106.7.2]) - 最大login尝试次数
(3)超出,连接被拒
第一次用户执行sudo
规则:5403被触发(等级4) - >“第一次用户执行sudo。
日志的部分:
Jul 2 11:55:14 x sudo:y:TTY = pts / 3;
PWD = / home / y; USER = root; COMMAND = / bin / su -
非法rootlogin
规则:2504被触发(级别9) - >“非法rootlogin”。
日志的部分:
7月2日11:54:39 SVR4149 sshd [13558]:ROOT LOGIN REFUSED FROM xxxx
logwatch的默认configuration应该在CentOS上完成,使用cron.daily条目发送一个电子邮件,该邮件将包含SSHD部分,总结失败和成功的login(以及总结从/ var / log / secure扫描的pam_unix输出,显示身份validation失败,无效的用户等)。