当某个 iptables DROP 规则正在运行时,我想调用发送电子邮件(或运行特定脚本,如果可能的话)。(例如,当我在 5 次 SSH 登录失败后阻止 IP 时,我想运行mail -s "SSH Blocked" [email protected]或类似的东西。有没有办法直接让 iptables 执行这个?
如果没有,那么我想我需要使用外部工具扫描日志,然后发送电子邮件。有什么推荐的工具吗?请注意,我正在使用systemd所以我正在使用journalctl而不是老式的日志文件。
AskOverflow.Dev
5 年来,我一直在使用由趋势科技资助的ossec hids ( http://www.ossec.net )来提醒系统管理员注意此类(以及许多其他)事件。
Ossec通过实时扫描日志来进行阻断和告警。您可以将其安装在本地计算机或另一台服务器上。它可以用作中央系统日志服务器。大多数功能都可以根据您的需要进行定制。对于日志聚合和检查(在 PCI 环境中需要),我还没有发现许多其他应用程序可以超越 Ossec 提供的功能。