Answers:
这部分取决于您正在运行的系统类型。我将为Linux概述一些建议,因为我对此比较熟悉。它们中的大多数也适用于Windows,但我不知道这些工具...
使用IDS
SNORT®是一种使用规则驱动语言的开源网络入侵防御和检测系统,该系统结合了签名,协议和基于异常的检查方法的优点。迄今为止,Snort拥有数百万的下载量,是全球部署最广泛的入侵检测和防御技术,并已成为该行业的事实上的标准。
Snort可以读取网络流量,并且可以查找“笔式驱动测试”之类的东西,其中有人只对您的服务器运行整个metasploit扫描。我认为很高兴了解这些事情。
使用日志...
根据您的使用情况,您可以进行设置,以便在用户登录或从奇数IP登录时,在root用户登录或有人尝试登录时知道。我实际上让服务器通过电子邮件向我发送每条高于Debug的日志消息。是的,甚至注意。我当然会过滤掉其中的一些,但是每天早晨,当我收到10封关于某事的电子邮件时,我都希望对其进行修复,以使其不再发生。
监视您的配置-实际上,我将整个/ etc保留在subversion中,因此我可以跟踪修订。
运行扫描。Lynis和Rootkit Hunter之类的工具可以向您发出警报,提醒您应用程序中可能存在的安全漏洞。有些程序会维护所有垃圾箱的哈希或哈希树,并且可以提醒您更改。
监视服务器-就像您提到的磁盘空间一样,如果出现异常情况,图形可以为您提供提示。我使用Cacti来监视CPU,网络流量,磁盘空间,温度等。如果某些东西看起来很奇怪,那就很奇怪了,您应该找出为什么这很奇怪。
使您可以实现的一切自动化……看看OSSEC http://www.ossec.net/客户端/服务器安装之类的项目……真的很容易设置,并且调整也不错。判断某些内容(包括注册表项)是否已更改的简单方法。即使在一家小商店中,我也会考虑设置系统日志服务器,以便您可以将所有日志汇总到一个地方。如果您仅希望将Windows日志发送到syslog服务器进行分析,请查看syslog代理http://syslogserver.com/syslogagent.html。