Email na atividade no servidor

Sua resposta é OSSEC. É uma ferramenta de código aberto que monitora seus logs, arquivos e tem todos os tipos de alertas por e-mail, respostas ativas, etc.

É muito simples de instalar e por padrão começará a enviar e-mails em ataques de força bruta, ataques baseados na Web, etc. Para habilitar e-mails para logins, logouts ou qualquer outra coisa é apenas uma questão de editar rapidamente um arquivo XML .

Link: link

Fora da experiência: não. Por favor. E-mail "atividade" deixa o trabalho chato (análise) do seu lado, o que significa que depois de algumas semanas de falsos positivos você deixa de prestar atenção. Então, quando um ataque acontece, você não percebe isso.

Além disso, há outros vetores de ataque que não envolvem logins: imagine o que acontece se alguém explora um serviço vulnerável e o induz a executar algum código.

Ou se você tiver um aplicativo da Web em execução nesse servidor e alguém roubar as credenciais desse aplicativo para duplicar os dados armazenados em um banco de dados.

Ou se alguém fizer um "su - usuário" em um nome de usuário com permissão para trabalhar.

Além disso: mesmo se você soubesse que alguém realmente logou, o que você faria? Desligue o servidor? Entre e feche sua sessão? O dano pode ser feito no momento em que você acordar e checar seu e-mail. E o que acontece quando você restaurou o servidor a partir do backup? Você tem tempo para consertá-lo?

Segurança é muito mais que um e-mail. Você tem que pensar como os bandidos para entender o que eles podem fazer, como, por que e qual deles é o elo mais fraco da cadeia de segurança (dica: geralmente está localizado entre o teclado e a cadeira).

Já que você mencionou o debian, aqui está um link para proteger o debian .

Debian? Em relação ao ssh-login?

Escreva um script que monitore a atividade auth.log e de e-mail para você?

A pergunta é: quando alguém realmente pode trabalhar neles, quem os autoriza e se é um intervalo de tempo e datas predefinidos?