/var/logIch sehe Online-Empfehlungen, dass ich die Anmeldungen nach Angriffen auf meinen Webserver oder Sicherheitsproblemen mit dem (Ubuntu Linux)-System im Allgemeinen durchsuchen soll, aber es wäre hilfreich, wenn ich etwas hätte, das nach mir suchen und mir eine E-Mail über etwas Verdächtiges schicken könnte .
Ich habe einige Seiten über Protokollverwaltungssoftware gesehen, bin mir aber nicht sicher, was effektiv wäre, insbesondere für jemanden, der dies nicht als Unternehmen tut. Was sind einige gute Pakete, die man sich ansehen sollte? Oder existiert das was ich suche?
Ich verwende auf meinen Rechnern eine Kombination aus Monitorix (zur Langzeitevaluation) und Fail2ban . Beide können E-Mail-Benachrichtigungen versenden, obwohl ich diese Funktion nicht verwende.
Für Ihren Fall würde ich besonders Fail2Ban empfehlen:
/var/log: Genau das, was es tut. Wird bereits mit einer Reihe von Regeln geliefert, die Sie selbst erweitern können (unter Verwendung regulärer Ausdrücke).Es ist ziemlich effektiv und läuft für mich als eine Art "automatisches IDS ": Bannt Hacker (Web, Mail, SSH und mehr) sowie "Leecher" und vieles mehr. Es kennt eine Reihe häufig verwendeter Software und deren Protokollformate (z. B. Apache, OpenSSH, ProFTP, verschiedene Mailserver), sodass Sie sogar sofort etwas Nützliches erhalten. Obwohl die meisten Dinge (außer SSH) standardmäßig "deaktiviert" sind, dauert es ein paar Minuten, die von Ihnen verwendeten auszuwählen und zu aktivieren.
Sobald Sie sich ein wenig damit vertraut gemacht haben, können Sie sogar anfangen, Ihre eigenen Regeln zu schreiben – und es mit anderen Diensten interagieren lassen (z. B. Apache: Lassen Sie mod_securitydas einige Ereignisse vom Typ "EMERGENCY" werfen und Fail2Ban darauf reagieren). Ich kann es nur wärmstens empfehlen.
mod_securitywurde hier nur als Beispiel erwähnt – die empfohlene Software ist Fail2Ban :)
Izzy
Topologische Sortierung
Fail2bansieht aus wie das Ding. Danke! Poste es als Antwort und ich werde es akzeptieren.