Как получить уведомление, если кто-то пытается получить доступ к моей системе?
Я использую Ubuntu 10.04. Я хочу получать оповещения, когда кто-то пытается получить доступ к моей системе. Например, если кто-то обращается к моей системе как пользователь ssh, я хочу получить оповещение в моей системе. Как получить этот тип оповещения?
2 ответа
fail2ban вероятно, один инструмент, который Вы захотите для этого. Это работает путем парсинга журналов популярных сервисов (ssh, апач, и т.д.) и поиска отказов входа в систему.
Когда это находит определенное число отказов (т.е. если это видит, что кто-то пробует к "в лоб" их путь в по SSH), это может обновить iptables для блокирования IP нападения. Это может также послать электронные письма для уведомления Вас (как Вы просите).
Можно читать больше об установке его отсюда: https://help.ubuntu.com/community/Fail2ban, но существуют много страниц в Интернете, говоря Вам, как сделать больше с ним. Это не простой инструмент.
Кроме этого, для любого сервиса, если Вы перемещаете его прочь в непредсказуемый порт, люди будут гораздо менее вероятными, чтобы просто наткнуться на него и смочь запустить скота, вызывающего его. Я выполняю мои все свои серверы SSH в 40000-50000 диапазонах портов. У меня есть fail2ban, установленный также, но я никогда не сделал, чтобы кто-либо нашел сервер SSH все же.
Конечно, это не полезно ни для какого сервиса (http, будет всегда ожидаться на p80, например), поэтому, если Вы поддержите других пользователей, необходимо рассмотреть, сколько дополнительного усилия, изменяющего порт, вызовет их.
Я ответил на аналогичный вопрос о запуске скрипта в ssh login / logout . Конечно, это работает только для логинов SSH.