¿Cómo se puede utilizar el kernel de Linux para supervisar lo que sucede con las nuevas conexiones, los nuevos puertos y los hosts conectados? Como si fuera un nuevo rastreador. ¿Qué archivos debo monitorear para saber qué sucede?
Por ejemplo, si un servidor no tiene conexiones ssh, entonces se conecta un nuevo host usando el puerto 22, quiero recibir una alerta para esta nueva conexión. Si el host se desconecta, se ejecutará otra alerta.
Respuesta1
Un poco vago pero... Netstat muestra el estado de las conexiones actualmente abiertas para la máquina local, hay cosas en /proc/net con las que podrías hacer algunas cosas inteligentes en "tiempo real", o hay programas como tcpdump que te darán paquetes sin formato registros (puede crear un filtro si está interesado en cosas más específicas), junto con herramientas como Wirehark para el análisis de registros de paquetes. ¿Cuál es /exactamente/ su objetivo? Podría ayudarle a asesorarlo mejor.
Respuesta2
Si solo desea tener una vista instantánea de qué IP están conectadas y qué conexión genera tráfico de red, puede intentarlo iptraf
.
Si desea más funciones como contabilidad, gráficos y monitoreo remoto, puede probar ntop
. Ntop
Se ejecuta como demonio, el monitoreo y la administración se realizan con un navegador en localhost:3000.