安全报告工具

Question

Linux中是否存在类似于安全入侵报告工具的东西？报告(登录后)安全性/系统更改的内容如下：

Failed Login Attempts: 
jsmith from 1.2.3.4 against example-host performed 37 times 
Account changes: 
New user: name=c0rt3z uid=1050 
... 

对不起，如果这是重复的，我不知道Linux中这类东西是如何命名的。

Answer 1

你的问题很难回答，因为它太笼统了。Linux中存在许多安全特性，其中一些是由基本操作系统提供的，另一些则是由独立的应用程序提供的。这些发行版的具体内容各不相同，因此如果不知道您使用的是什么Linux发行版，就很难提出具体的建议。

我强烈建议您从发行版的安全指南或一般文档开始。

让你开始的几个想法：

• syslog工具，特别是auth.log：自授权信息记录在这里。
• logwatch:帮助您对所关心的信息进行排序和解析日志文件的工具。
• Fail2Ban:自动删除超过登录失败次数阈值的客户端的IP地址
• Tripwire:监视文件中的更改
• AppArmor，或SELinux:应用程序和内核的强制访问控制机制。
• Auditd:文件修改的用户空间审核(类似于tripwire)
• Shell历史记录(例如，~/.bash_history)。

Answer 2

我能想到的最简单的方法就是仅仅安装logwatch，这样就可以避免使用严肃的审计工具了。

然后，您可以收到每天的电子邮件列表(包括许多有用的信息)、失败登录尝试的摘要以及新创建的用户和组。

Answer 3

我想你要找的是三海。它将监视您的系统更改并通知您，但它比您碰巧登录时更加主动。

我曾经用过Osiris来做这种事，但是它已经很多年没有更新过了。

顺便说一句，这种安全审计称为主机完整性监视。