ส่งอีเมลเมื่อมีคนเข้าสู่ระบบ

10

ระบบ CentOS / RHEL ของฉันอาจถูกแฮ็กฉันไม่แน่ใจ แต่ฉันเล่นได้อย่างปลอดภัยโดยสร้างชิ้นใหม่ตั้งแต่เริ่มต้น

ฉันติดตั้ง tripwire แล้ว แต่ฉันต้องการได้รับอีเมลเมื่อมีคนลงชื่อเข้าใช้ด้วยฉันไม่ต้องการรอรายงาน logwatch รายวันฉันต้องการอีเมลทันทีเมื่อมีคนลงชื่อเข้าใช้ด้วยที่อยู่ IP ของพวกเขา

ข้อเสนอแนะ?

คล้ายกับส่งการแจ้งเตือนทางอีเมลในรายการไฟล์บันทึกหรือไม่ แต่อาจมีบางคนมีเทคนิคสำหรับปัญหาเฉพาะนี้

ขอบคุณ

แลร์รี่

เพิ่ม: http://forums11.itrc.hp.com/service/forums/questionanswer.do?admit=109447626+1249534744623+28353475&threadId=698232มีความคิดบางอย่าง

— LarryK
แหล่งที่มา

1

กรุณาทำมันจากวงโคจร i.stack.imgur.com/cFSC5.png

— จาค็อบ

9

คุณควรใช้ solucion สำหรับการตรวจสอบบันทึกเช่นOSSECมันจะดูบันทึกของคุณสำหรับข้อมูลความปลอดภัย (รวมถึงการเข้าสู่ระบบ sudo ฯลฯ ) และส่งอีเมลถึงคุณเมื่อการแจ้งเตือนมีความสำคัญ

ง่ายต่อการกำหนดค่าและคุณสามารถเพิ่มระดับการแจ้งเตือนสำหรับอีเมลหรือรวมถึงการalert-by-emailแจ้งเตือนเฉพาะ

นอกจากนี้ยังสามารถกำหนดค่าการตอบสนองที่ใช้งานได้การปิดกั้น IP และการปฏิเสธการเข้าถึงเป็นระยะเวลาหนึ่งตามค่าเริ่มต้น

— chmeee
แหล่งที่มา

4

การเปลี่ยนแปลงเล็กน้อยของโซลูชัน adams ซึ่งไม่แตกถ้ารูทถูกบันทึกไว้ในเทอร์มินัลมากกว่าหนึ่ง:

login_info="$(who | head -n1 | cut -d'(' -f2 | cut -d')' -f1)"
message="$(
printf "ALERT - Root Shell Access (%s) on:\n" "$(hostname)"
date
echo
who
)"
mail -s "Alert: Root Access from ${login_info}" admin <<< "${message}"

— alexh
แหล่งที่มา

4

คุณสามารถใส่มันลงใน. bashrc ของคุณ

echo 'ALERT - Root Shell Access to' $(hostname) 'on:' `date` `who` \
| mail -s "Alert: Root Access from `who | cut -d"(" -f2 | cut -d")" -f1`" YOUREMAIL

— อาดัม
แหล่งที่มา

2

คุณสามารถเพิ่มคำสั่งที่เหมาะสมไปยังหรือโทรสคริปต์จาก / etc / profile

— John Gardeniers
แหล่งที่มา

2

โปรดทราบว่าหากเครื่องของคุณถูกแฮ็กมันอาจเป็นงานที่ไม่สำคัญสำหรับแฮกเกอร์ - โดยสมมติว่าไม่ใช่ตัวเล็กสคริปต์ที่เรากำลังพูดถึง - เพื่อปิดใช้งานฟังก์ชั่นแจ้งเตือนทางอีเมล

— Maximus Minimus
แหล่งที่มา

4

ใช่นั่นเป็นเหตุผลที่ฉันต้องการให้ส่งอีเมลทันทีที่มีคนลงชื่อเข้าใช้ - เซิร์ฟเวอร์ไม่ได้รับการเข้าสู่ระบบจำนวนมาก ฉันคิดว่าวิธีนี้จะลดโอกาสของคนที่สามารถป้องกันไม่ให้อีเมลออกไปเกี่ยวกับการหยุดพักครั้งแรก (ถ้าผ่านเชลล์การเข้าสู่ระบบ)

— LarryK

2

บทความนี้อธิบายวิธีการส่งอีเมลในการเข้าสู่ระบบโดยใช้ SSH PAM

— พอล
แหล่งที่มา

2

ฉันเผยแพร่สคริปต์ทุบตีบน Github Gist ซึ่งทำสิ่งที่คุณต้องการ มันจะส่งอีเมลถึงผู้ดูแลระบบทุกครั้งที่ผู้ใช้ล็อกอินจากที่อยู่ IP ใหม่ ฉันใช้การเข้าสู่ระบบกลั่นกรองสคริปต์ในระบบการผลิตที่ควบคุมอย่างเข้มงวดของเรา หากการเข้าสู่ระบบถูกบุกรุกเราจะได้รับแจ้งเกี่ยวกับตำแหน่งการเข้าสู่ระบบที่ผิดปกติและมีโอกาสที่จะล็อคพวกเขาออกจากระบบก่อนที่พวกเขาจะก่อให้เกิดความเสียหายร้ายแรง

/etc/profile.d/การติดตั้งสคริปต์เพียงแค่การปรับปรุงด้วยอีเมลดูแลระบบของคุณและคัดลอกลงใน

— Elliot B.
แหล่งที่มา

กรุณาพยายามที่จะไม่คัดลอกและวางคำตอบของคุณเอง ถ้าคุณรู้สึกว่าคำถามที่มีหลักเดียวกันและวิธีการแก้ปัญหาเช่นเดียวกับทั้งวิธีการที่ต้องการคือการทำเครื่องหมายคำถามหนึ่งว่าซ้ำกับของอื่น ๆ

— HBruijn

@ HBruijn ฉันคิดว่าวิธีการที่ อย่างไรก็ตามในกรณีนี้คำถามสองข้อนั้นเหมือนกัน แต่ไม่ซ้ำกัน - แต่คำตอบเดียวกันยังคงใช้กับทั้งสอง

— Elliot B.