Ssh log monitor
Есть ли инструменты для мониторинга логов ssh на /var/log/secure и сообщить о деятельности?
Я ищу некоторые инструменты, которые проактивно расскажут мне о действиях пользователя и выделят вредоносную активность.
Я не хочу писать инструмент для ведения журнала на основе cron, так как не знаю множества крайних случаев.
К вашему сведению, я использую CentOS
3 ответа
logwatch будет следить и отправлять вам ежедневные оповещения о неудачных входах в систему и т. д., а fail2ban будет отслеживать попытки подключения и блокировать IP-адрес после n-неудачных входов в систему в течение n-секунд. однако здесь есть больше вариантов, чем было бы разумно потрясти.
Также взгляните на OSSEC. Правила по умолчанию могут отправить вам электронное письмо, когда:
пользователь создан:
Правило: 5902 срабатывает (уровень 8) -> Часть "Новый пользователь добавлен в систему" журнала (ов): 20 сентября 15:29:50 SVR015-493 useradd[22825]: новый пользователь: имя =x, UID=507, GID=512, home=y, shell=/sbin/nologin
Несколько неудачных попыток входа
Правило: 11210 срабатывает (уровень 10) -> "Несколько неудачных попыток входа в систему". 23 августа 18:47:07 x proftpd[22934]: y(::ffff:183.106.7.2[::ffff:183.106.7.2]) - максимальное количество попыток входа (3) превышено, соединение отказано
Первый раз пользователь выполнил sudo
Правило: 5403 срабатывает (уровень 4) -> "Первый раз пользователь выполнил sudo". Часть журнала (ов): 2 июля 11:55:14 x sudo: y: TTY=pts/3; PWD=/home/y; ПОЛЬЗОВАТЕЛЬ =root; КОМАНДА =/bin/su -
Неверный root-логин
Правило: 2504 сработало (уровень 9) -> "Неверный root-доступ". Часть журнала (ов): 2 июля, 11:54:39 SVR4149 sshd[13558]: ОТПРАВЛЕНО ВХОДА ROOT ОТ Xxxx
- ...
Конфигурация logwatch по умолчанию должна делать это в CentOS с записью cron.daily для отправки электронного письма, содержащего раздел SSHD, в котором обобщаются неудачные и успешные входы в систему (а также обобщается вывод pam_unix, отсканированный из /var/log/secure, показывающий ошибки аутентификации, недействительные пользователи и т. д.).