Veo recomendaciones en línea que busco en los registros en /var/log
busca de ataques a mi servidor web o problemas de seguridad con el sistema (Ubuntu Linux) en general, pero sería útil si tuviera algo que pudiera buscarme y enviarme un correo electrónico sobre cualquier cosa sospechosa.
He visto algunas páginas sobre software de administración de registros, pero no estoy seguro de qué sería efectivo, especialmente para alguien que no está haciendo esto como negocio. ¿Cuáles son algunos buenos paquetes para mirar? ¿O existe lo que busco?
Estoy usando una combinación de Monitorix (para evaluación a largo plazo) y Fail2ban en mis máquinas. Ambos pueden enviar alertas por correo electrónico, aunque no estoy usando esa función.
Para tu caso, te recomiendo especialmente Fail2Ban:
/var/log
: Exactamente lo que hace. Ya viene con un conjunto de reglas que puede ampliar por su cuenta (usando expresiones regulares).Es bastante efectivo, y para mí funciona como una especie de " IDS automático ": prohíbe a los piratas informáticos (web, correo, ssh y más), así como a los "leechers", y mucho más. Conoce un montón de software de uso frecuente y sus formatos de registro (por ejemplo, Apache, OpenSSH, ProFTP, varios servidores de correo), por lo que incluso listo para usar obtiene algo útil. Aunque la mayoría de las cosas (excepto SSH) están "deshabilitadas" de manera predeterminada, toma unos minutos elegir las que usa y activarlas.
Una vez que se haya familiarizado un poco con él, incluso puede comenzar a escribir sus propias reglas y hacer que interactúe con otros servicios (por ejemplo, Apache: mod_security
deje que arroje algún tipo de eventos de "EMERGENCIA" y haga que Fail2Ban actúe sobre ellos). Solo puedo recomendarlo calurosamente.
mod_security
se acaba de mencionar como ejemplo aquí: el software recomendado es Fail2Ban :)
izzy
Clasificación topológica
Fail2ban
parece la cosa. ¡Gracias! Publícalo como respuesta y lo aceptaré.