AdamGhanem8179/Aegis

# 🛡️ Aegis – Linux 安全监控与响应系统 ## 📌 概述 **Aegis** 是一个基于 Linux 的模块化安全系统，旨在**监控**、**检测**并**响应**服务器上实时发生的可疑或恶意活动。 它作为一个轻量级防御层，持续分析系统日志，识别潜在威胁，并根据可配置的规则自动采取措施。 该系统的设计理念是简单、高效且易于扩展——既适用于学习环境，也适用于实际的生产部署。 ## ⚙️ Aegis 的功能 Aegis 分为三个主要阶段运行： ### 1. 监控 (`monitor.sh`) 从系统日志中收集并格式化相关的安全数据。 它跟踪： - 失败的 SSH 登录尝试 - Root 登录尝试 - 成功的 SSH 登录 - 失败和成功的 sudo 使用 - 新用户创建事件 - 可疑活动模式（例如：突发、重复） 所有提取的数据都会被清洗并存储在 `/logs` 内的结构化日志文件中。 ### 2. 检测 (`detector.sh`) 分析监控数据以识别异常或恶意行为。 检测示例： - 来自同一 IP 的多次 SSH 失败尝试 - 暴力破解登录模式 - 快速连续的 sudo 失败后跟随成功 - 用户创建活动的异常激增 检测结果将保存到： - `detected_ip.log` - `detected_sudo.log` - `detected_userc.log` ### 3. 响应 (`blocker.sh`) 根据检测到的威胁和预定义规则采取行动。 可能的行动： - ⚠️ 警报（记录日志或通知管理员） - ⏱️ 临时超时 - 🚫 永久 IP 封禁 被封禁的 IP 会： - 通过防火墙规则（例如 `iptables`）生效 - 存储在持久化的 `blacklist` 文件中 ## 🧩 项目结构 ``` Aegis/ ├── monitor.sh ├── detector.sh ├── blocker.sh ├── runner.sh ├── config.conf ├── logs/ │ ├── ssh_failed.log │ ├── ssh_root.log │ ├── sudo_events.log │ ├── user_events.log │ ├── detected_ip.log │ ├── detected_sudo.log │ ├── detected_userc.log │ └── blacklist.log └── README.md ``` ## 🚀 如何使用 ### 1. 赋予权限 ``` chmod +x *.sh ```

标签：BurpSuite集成, CSV导出, Cutter, EDR, Iptables, IP封禁, osquery, PE 加载器, Shell脚本, SSH防护, 应用安全, 异常检测, 暴力破解防御, 系统加固, 脆弱性评估, 自动化防御, 运维安全, 防火墙