Является ли это достаточной мерой безопасности для отправки немедленного почтового уведомления, когда кто-то входит в систему через ssh?
Присылайте мне электронные письма, когда кто-то входит в систему через SSH
Если говорить об этом здесь, достаточно ли этого, чтобы предотвратить какой-либо ущерб (или более того, возможность ограничить его посредством уведомления об этом) вашему серверу, если кому-то действительно удастся войти в систему?
Дополнительный вопрос:
Существуют ли другие способы вторжения, вы не будете уведомлены об этом способе?
Стоит ли вам регистрировать сеансы дополнительно, если вы не хотите просто чистить весь сервер в тот момент, когда кто-то взломает?
Как вы точно выясните, что сделало ваш сервер небезопасным?
РЕДАКТИРОВАТЬ:
Кажется, что люди наполовину читают вопрос и поэтому дают неподходящие ответы и понижают голосование. Во-первых, в названии есть "чрезвычайная мера", что означает, что это мера для вещей, которые уже слишком поздно. План резервного копирования, если что-то пойдет не так.
Во-вторых, "очистить весь сервер в тот момент, когда кто-то взломал" также подразумевало это. Если кто-то взломает, в этом случае весь сервер, вероятно, придется отбросить и настроить заново. Поэтому я на самом деле спрашиваю, как предотвратить это и что делать больше в случае чрезвычайной ситуации - кто-то действительно вмешался.
1 ответ
Нет.
Если злоумышленнику удастся войти в систему, он, скорее всего, уже нанесет ущерб еще до того, как письмо будет доставлено, особенно если оно будет замечено и прочитано.
Еще одна проблема заключается в том, что если они проникнут через уязвимость в какой-то (другой?) Сервис, а не войдут в систему с использованием ssh, письмо не будет отправлено.
Кроме того, это звучит как система, которая имеет экстремальное соотношение ложных срабатываний, с высоким риском того, что вы научитесь игнорировать ее. (Плачущий волк, как бы.)