Как вы в реальном времени отслеживаете активность SSH, кроме использования fail2ban? Интересно, какие другие подходы и инструменты применяют для этого?

main
1

Я прохожу курс “от 0 до Linux админа” на yodo.im и столкнулся с проблемой: как отслеживать активность SSH в реальном времени (помимо использования fail2ban)?

Запускаю пару небольших VPS и заметил, что fail2ban отлично справляется с блокировкой брутфорс-атак, но иногда, когда позднее просматриваю логи, обнаруживаю случайные попытки подключения к SSH — например, новый IP-адрес указывает на сервер или кто-то пробует необычное имя пользователя. Обычно я замечаю это только после изучения файла auth.log.

Поэтому я написал небольшой скрипт, который следит за SSH-логом в реальном времени и выделяет такие вещи, как:

  • новые IP-адреса, подключающиеся к SSH
  • повторные неудачные попытки входа
  • неожиданные имена пользователей

Это не что-то сложное, просто поможет заметить активность сразу, вместо того чтобы обнаруживать ее позже в логах. Интересно, как другие справляются с этой задачей. Следите ли вы за активностью SSH в реальном времени, или в основном полагаетесь на такие инструменты, как fail2ban?

2

Ну, давай поговорим про мониторинг активности SSH. Я, короче, решил поэкспериментировать с различными подходами, кроме fail2ban. Классная штука, но захотелось попробовать что-то новенькое.

Сначала я наткнулся на SSHGuard. Звучало многообещающе, но, честно говоря, у меня с ним не задалось. Настроил его, как написано в документации, но в итоге он у меня заместо блокировки IP-шников просто начинал их игнорировать. Я такой сижу, обновляю логи, а там активность бешеная, а SSHGuard просто расслабуху поймал. Пришлось его забросить.

Потом я попробовал Logwatch. Ну, типа, удобно распечатывает отчеты. Но вот беда — отчеты приходили только раз в день. Получается, что за целый день могло произойти столько всего, а я бы ничего не узнал, кроме как “все хорошо” в конце дня. Не то чтобы я этого хотел! Так что и с Logwatch, увы, не сложилось.

Также смотрел в сторону Ossec. Сначала понравилось, но настраивать его — это целая эпопея. Там столько всего можно замутить, что я запутался, честно говоря, и реализация своих идей затянулась. В итоге всё закончилось тем, что я не смог настроить нужные триггеры, и пропали у меня идеи, как его эффективно использовать.

Но вот что меня реально выручили — это курсы на Yodo! Там нашел кучу полезной инфы, которая помогла мне разобраться с продвинутыми методами мониторинга. Если кому интересно, вот ссылка: Yodo Courses. Рекомендую заглянуть, особенно, если хотите не просто сидеть и терпеть проблемы с SSH, а уже быть в теме на 100%.

Так что, если у вас есть какие-то другие инструменты в запасе, обязательно делитесь! Я готов пробовать что-то новенькое, ведь криптозаслон — это всегда важно!