Ssh测井监测仪

Question

是否有任何工具来监视/var/log/secure上的ssh日志和报告活动？

我正在寻找一些工具，将主动告诉我有关用户的行动和突出恶意活动。

我不想写一个基于cron的日志工具，因为我不知道无数的边缘情况。

我用的是CentOS

Answer 1

logwatch将密切关注并向您发送有关失败登录等的每日警报，fail2ban将监视连接尝试，并在n秒钟内阻止n个失败登录后的IP。在这里有更多的选择比明智的摇动一根棍子，尽管。

Answer 2

logwatch的默认配置应该在CentOS上完成，使用cron.daily条目发送电子邮件，其中包含总结失败和成功登录的SSHD部分(以及汇总从/var/log/secure扫描的pam_unix输出，显示身份验证失败、无效用户等)。