Создайте предупреждение в системе журнала
Я хочу поставить "будильник" на своей машине Ubuntu, которая сообщает о странном материале, происходящем в моих журналах. Скажем, я хочу, чтобы это сохранило информацию, когда определенное событие имеет место, например, кто-то попытался войти в систему и отказавший. Какие-либо идеи?
Edit1: Я знаю, что существуют инструменты как OSSEC, но я хотел сделать это самостоятельно, как установка определенного подшипника, который инициирует мое собственное предупреждение. Я просто играю вокруг с системами журнала, таким образом, я не совсем уверен, что я хочу, возможно.
1 ответ
fail2ban в значительной степени, что Вы описываете.
Вы говорите его, что смотреть и что сделать, если что-то инициировано.
Это поставлется с набором сценариев, которые наблюдают за auth.log злоупотребления (которые инициировали запреты iptables), среди других вещей. Я даже обеспечил электричеством сайт Wordpress для инициирования блокирования IP, если кто-то пробует к грубой силе страницу входа в систему.
синтаксис не абсолютно очевиден, но это гибко.