Email na atividade no servidor

2

Estou procurando uma maneira de proteger meu servidor contra vilões e, na pior das hipóteses, eles obteriam acesso a um dos usuários, como eu recebo um e-mail sobre a atividade? Eu gostaria de receber um e-mail quando alguém fizer login (qualquer usuário, já que ninguém deve estar logado neles, exceto quando alguém tiver permissão para trabalhar neles). Temos backups de hora em hora de nossos servidores

existem maneiras melhores de ser notificado de que atividades suspeitas estão acontecendo?

    
por Thomaschaaf 10.12.2009 / 13:07

3 respostas

1

Sua resposta é OSSEC. É uma ferramenta de código aberto que monitora seus logs, arquivos e tem todos os tipos de alertas por e-mail, respostas ativas, etc.

É muito simples de instalar e por padrão começará a enviar e-mails em ataques de força bruta, ataques baseados na Web, etc. Para habilitar e-mails para logins, logouts ou qualquer outra coisa é apenas uma questão de editar rapidamente um arquivo XML .

Link: link

    
por 10.12.2009 / 22:24
1

Fora da experiência: não. Por favor. E-mail "atividade" deixa o trabalho chato (análise) do seu lado, o que significa que depois de algumas semanas de falsos positivos você deixa de prestar atenção. Então, quando um ataque acontece, você não percebe isso.

Além disso, há outros vetores de ataque que não envolvem logins: imagine o que acontece se alguém explora um serviço vulnerável e o induz a executar algum código.

Ou se você tiver um aplicativo da Web em execução nesse servidor e alguém roubar as credenciais desse aplicativo para duplicar os dados armazenados em um banco de dados.

Ou se alguém fizer um "su - usuário" em um nome de usuário com permissão para trabalhar.

Além disso: mesmo se você soubesse que alguém realmente logou, o que você faria? Desligue o servidor? Entre e feche sua sessão? O dano pode ser feito no momento em que você acordar e checar seu e-mail. E o que acontece quando você restaurou o servidor a partir do backup? Você tem tempo para consertá-lo?

Segurança é muito mais que um e-mail. Você tem que pensar como os bandidos para entender o que eles podem fazer, como, por que e qual deles é o elo mais fraco da cadeia de segurança (dica: geralmente está localizado entre o teclado e a cadeira).

Já que você mencionou o debian, aqui está um link para proteger o debian .

    
por 10.12.2009 / 13:45
0

Debian? Em relação ao ssh-login?

Escreva um script que monitore a atividade auth.log e de e-mail para você?

A pergunta é: quando alguém realmente pode trabalhar neles, quem os autoriza e se é um intervalo de tempo e datas predefinidos?

    
por 10.12.2009 / 13:27