Email sur l'activité sur le server

Je cherche un moyen de sécuriser mon server contre les méchants et le pire scénario serait qu'ils obtiendraient l'access à l'un des users comment puis-je recevoir un courrier électronique sur l'activité? J'aimerais recevoir un courrier électronique lorsque quelqu'un se connecte (n'importe quel user, car personne ne devrait être connecté à eux, sauf si quelqu'un est effectivement autorisé à travailler sur eux) Nous avons des sauvegardes horaires de nos servers

Existe-t-il de meilleurs moyens de se faire informer que cette activité suspecte se passe?

  • Puis-je supprimer les connections SSH après cinq secondes?
  • Comment configurer les règles de sortie avec iptables (sur Ubuntu)?
  • Existe-t-il un égaliseur SSL pour un agent ssh?
  • Une solution de rechange nécessaire pour exécuter FileMaker Server 12 Admin Console avec le nouveau model de security Java
  • Limiter l'ordinateur ou les users à partir d'Internet, mais permettre l'access à l'intranet et à Windows Update / ePO?
  • SELinux interdit la connection SSH sans mot de passe
  • Comment sécuriser votre server Linux contre les attaques pass-the-hash
  • Est-il sécuritaire d'exposer publiquement les outils dev / team sans VPN?
  • 3 Solutions collect form web for “Email sur l'activité sur le server”

    Votre réponse est OSSEC. C'est un outil open source qui surveille vos journaux, files et toutes sortes d'alertes par courrier électronique, réponses actives, etc.

    Il est très simple à installer et, par défaut, il va commencer à envoyer des courriels sur les attaques de force brutale, les attaques basées sur le Web, etc. Pour activer les courriels pour les connections, les déconnections ou tout autre chose, il s'agit simplement d'éditer rapidement un file XML.

    Lien: http://www.ossec.net

    Hors expérience: ne pas. S'il vous plaît. L'e-mail "activité" laisse le travail ennuyeux (parsing) de votre côté, ce qui signifie qu'après quelques semaines de faux positifs, vous cessez de prêter attention. Ensuite, quand une attaque se produit, vous ne le remarquez pas.

    Il existe également d'autres vectors d'attaque qui n'impliquent pas les connections: imaginez ce qui se passe si quelqu'un exploite un service vulnérable et l'empêche d'exécuter un code.

    Ou si vous avez une application Web en cours d'exécution sur ce server, et quelqu'un dérobe les informations d'identification de cette application pour dupliquer datatables stockées dans un db.

    Ou si quelqu'un fait un "su-user" dans un nom d'user qui est autorisé à fonctionner.

    En outre: même si vous saviez que quelqu'un effectivement connecté, que feriez-vous? Arrêter le server? Connectez-vous et fermez sa session? Le dommage pourrait être déjà effectué au moment où vous vous réveillez et vérifiez votre courrier. Et que se passe-t-il lorsque vous avez restauré le server à partir de la sauvegarde? Avez-vous le time de le réparer?

    La security est beaucoup plus qu'un e-mail. Vous devez penser comme les méchants à comprendre ce qu'ils peuvent faire, comment, pourquoi, et lequel est le maillon le plus faible de la string de security (indice: c'est habituellement situé entre le keyboard et la chaise).

    Puisque vous mentionnez Debian, voici un lien pour sécuriser debian .

    Debian? En ce qui concerne ssh-login?

    Ecrivez-vous un script qui vous surveille auth.log et e-mail?

    La question est: quand quelqu'un est-il autorisé à travailler sur eux, qui les autorise et est-ce un intervalle de time et des dates prédéfinis?

    Les astuces du serveur de linux et windows, tels que ubuntu, centos, apache, nginx, debian et des sujets de réseau.