Novo para o Ubuntu Server, que registra para monitorar e o que fazer [fechado]

Navegue suas respostas
2

Eu tenho rodado o Ubuntu Server por cerca de quatro meses e aprendo algo novo todos os dias. Hoje eu aprendi que existem muitos registros que eu não sabia que existiam. Quando examinei esses registros, fiquei impressionado. Por exemplo, auth.log listou o que eu acho que são tentativas de invasão e tentativas de login com falha de ssh de muitos endereços IP.

Minha pergunta é essa. Estou executando o Apache e estou conectando com o ssh. Com quais logs devo estar mais familiarizado para monitorar tentativas de login com falha e o que posso fazer para tornar o ssh mais seguro e ainda conseguir gerenciar meu servidor com ele?

Além disso, tenho notado uma quantidade louca de tráfego em dois momentos diferentes, quando ninguém deveria estar conectado ao servidor (usando vnstat -l), mas ainda não descobri o porquê. Onde posso começar a rastrear isso?

Eu percebo que isso é muitas perguntas em um e peço desculpas por isso. Eu ainda estou um pouco chocada com o que eu descobri até agora.

    
por cop1152 19.08.2009 / 14:10

2 respostas

4

Eu sugiro que você olhe para o logcheck -package - ele monitora a maioria dos registros relevantes (se não todos) e envia resumos por hora de todas as entradas suspeitas. Note que envia e-mail, então você tem que configurar um servidor para isso também ...

Quanto aos logins de SSH com falha, sugiro que você veja o uso de um firewall para bloquear todo o acesso de hosts desconhecidos - tente ver o "Uncomplicated FireWall" do Ubuntu, ufw .

Finalmente, sugiro que você consulte o Guia do Servidor Ubuntu oficial.

(Para uma boa medida, eu geralmente os instalo em todos os servidores; munin para monitoramento, backupninja (nome diz tudo), etckeeper para acompanhar /etc e, como mencionado, logcheck . )

    
por 19.08.2009 / 14:35
4

Eu tenderia a usar logwatch, em vez de logcheck (embora, isso é uma questão de gosto mais do que qualquer coisa). Para proteger o ssh, eu começaria instalando o fail2ban, que bloquearia aqueles que continuamente falharem no login. Eu não me incomodaria em mudar a porta ssh, ainda é trivial para encontrar, devido à seqüência de conexão do ssh, e é realmente mais problemas do que é um benefício. Além disso, você deve proibir logins de root sobre ssh, alterando PermitRootLogins em / etc / ssh / sshd_config para 'no'.

Não posso dizer como rastrear grandes quantidades de tráfego anteriores, mas o netstat / lsof -i forneceria listas de conexões, o que pode ajudar se você vir novamente.

    
por 19.08.2009 / 14:41

Tags

Não é possível chamar pelo asterisco Linux: como criar um superusuário?