Email sur l'activité sur le server

Je cherche un moyen de sécuriser mon server contre les méchants et le pire scénario serait qu'ils obtiendraient l'access à l'un des users comment puis-je recevoir un courrier électronique sur l'activité? J'aimerais recevoir un courrier électronique lorsque quelqu'un se connecte (n'importe quel user, car personne ne devrait être connecté à eux, sauf si quelqu'un est effectivement autorisé à travailler sur eux) Nous avons des sauvegardes horaires de nos servers

Existe-t-il de meilleurs moyens de se faire informer que cette activité suspecte se passe?

3 Solutions collect form web for “Email sur l'activité sur le server”

Votre réponse est OSSEC. C'est un outil open source qui surveille vos journaux, files et toutes sortes d'alertes par courrier électronique, réponses actives, etc.

Il est très simple à installer et, par défaut, il va commencer à envoyer des courriels sur les attaques de force brutale, les attaques basées sur le Web, etc. Pour activer les courriels pour les connections, les déconnections ou tout autre chose, il s'agit simplement d'éditer rapidement un file XML.

Lien: http://www.ossec.net

Hors expérience: ne pas. S'il vous plaît. L'e-mail "activité" laisse le travail ennuyeux (parsing) de votre côté, ce qui signifie qu'après quelques semaines de faux positifs, vous cessez de prêter attention. Ensuite, quand une attaque se produit, vous ne le remarquez pas.

Il existe également d'autres vectors d'attaque qui n'impliquent pas les connections: imaginez ce qui se passe si quelqu'un exploite un service vulnérable et l'empêche d'exécuter un code.

Ou si vous avez une application Web en cours d'exécution sur ce server, et quelqu'un dérobe les informations d'identification de cette application pour dupliquer datatables stockées dans un db.

Ou si quelqu'un fait un "su-user" dans un nom d'user qui est autorisé à fonctionner.

En outre: même si vous saviez que quelqu'un effectivement connecté, que feriez-vous? Arrêter le server? Connectez-vous et fermez sa session? Le dommage pourrait être déjà effectué au moment où vous vous réveillez et vérifiez votre courrier. Et que se passe-t-il lorsque vous avez restauré le server à partir de la sauvegarde? Avez-vous le time de le réparer?

La security est beaucoup plus qu'un e-mail. Vous devez penser comme les méchants à comprendre ce qu'ils peuvent faire, comment, pourquoi, et lequel est le maillon le plus faible de la string de security (indice: c'est habituellement situé entre le keyboard et la chaise).

Puisque vous mentionnez Debian, voici un lien pour sécuriser debian .

Debian? En ce qui concerne ssh-login?

Ecrivez-vous un script qui vous surveille auth.log et e-mail?

La question est: quand quelqu'un est-il autorisé à travailler sur eux, qui les autorise et est-ce un intervalle de time et des dates prédéfinis?

  • SMB 3 crypté sur internet
  • Modèles iptables étranges de ports fermés
  • Apache - Dépose la connection pour tout ce que l'état HTTP 200
  • Est-il possible d'autoriser les users à exécuter le code PHP de manière sécurisée?
  • Empêcher l'injection SQL dans Magento (termes de search)
  • MSSQL Mirroring Failover: la connection a échoué pour l'user
  • Bloquer SSH hop en fonction de l'origine du trafic?
  • Enregistrez l'utilisation de l'administrateur à travers le domaine?
  • La version par défaut d'Apache dans Ubuntu 14.04 est-elle sécurisée?
  • Gestion des inputs interactives par keyboard avec Ansible
  • Exécution d'un server Windows sans administrateur en charge
  • Les astuces du serveur de linux et windows, tels que ubuntu, centos, apache, nginx, debian et des sujets de rĂ©seau.