Existe alguma ferramenta para monitorar logs ssh em /var/log/secure e atividade de relatório?
Estou procurando algumas ferramentas que me digam proativamente sobre as ações do usuário e destacem atividades maliciosas.
Não quero escrever uma ferramenta de registro baseada em cron, pois não tenho conhecimento dos muitos casos de borda.
FYI, eu uso o CentOS
Veja também OSSEC . As regras padrão podem enviar um e-mail para você quando:
um usuário é criado:
Rule: 5902 fired (level 8) -> "New user added to the system" Portion of the log(s): Sep 20 15:29:50 SVR015-493 useradd[22825]: new user: name=x, UID=507, GID=512, home=y, shell=/sbin/nologin
Várias tentativas de login com falha
Rule: 11210 fired (level 10) -> "Multiple failed login attempts." Aug 23 18:47:07 x proftpd[22934]: y(::ffff:183.106.7.2[::ffff:183.106.7.2]) - Maximum login attempts (3) exceeded, connection refused
Usuário executado pela primeira vez no sudo
Rule: 5403 fired (level 4) -> "First time user executed sudo." Portion of the log(s): Jul 2 11:55:14 x sudo: y : TTY=pts/3 ; PWD=/home/y ; USER=root ; COMMAND=/bin/su -
Login de raiz ilegal
Rule: 2504 fired (level 9) -> "Illegal root login. " Portion of the log(s): Jul 2 11:54:39 SVR4149 sshd[13558]: ROOT LOGIN REFUSED FROM x.x.x.x
A configuração padrão do logwatch deve fazer isso no CentOS, com uma entrada cron.daily para enviar um email que conterá uma seção SSHD resumindo logins com sucesso e com falha (assim como resumindo a saída pam_unix varrida de / var / log / secure mostrando falhas de autenticação, usuários inválidos, etc.).
Tags ssh monitoring logging malicious