Отправить письмо, когда кто-нибудь входит

10

Моя система CentOS / RHEL, возможно, была взломана, я не уверен. Но я играю безопасно, создавая новый фрагмент с нуля.

Я установил tripwire, но я также хотел бы, чтобы по электронной почте, когда кто-то входит в систему. Я не хочу ждать ежедневного отчета о журнале, я хочу получать немедленное электронное письмо, когда кто-либо входит в систему. Желательно также с их IP-адресом.

Предложения?

Похоже на отправку оповещения по электронной почте при записи файла журнала? но, возможно, у кого-то есть методика для этой конкретной проблемы.

Спасибо,

Larry

Добавлено: http://forums11.itrc.hp.com/service/forums/questionanswer.do?admit=109447626+1249534744623+28353475&threadId=698232 имеет несколько идей

linux security log-files login LarryK
источник
1
Пожалуйста, сбросьте его с орбиты. i.stack.imgur.com/cFSC5.png
Джейкоб

Ответы:

9

Вы должны использовать решение для мониторинга журналов, такое как OSSEC , оно будет искать в ваших журналах информацию о безопасности (включая логин, sudo и т. Д.) И отправлять вам электронную почту, когда предупреждение важно.

Его легко настроить, и вы можете повысить уровень оповещения для электронной почты или включить alert-by-emailв конкретное оповещение.

Он также может настраивать активный ответ, блокируя IP-адреса и по умолчанию отказывая в доступе.

chmeee
источник
4

Небольшое изменение решения adams, которое не ломается, если root авторизован в нескольких терминалах:

login_info="$(who | head -n1 | cut -d'(' -f2 | cut -d')' -f1)"
message="$(
printf "ALERT - Root Shell Access (%s) on:\n" "$(hostname)"
date
echo
who
)"
mail -s "Alert: Root Access from ${login_info}" admin <<< "${message}"
alexh
источник
4

Вы можете поместить это в свой .bashrc

echo 'ALERT - Root Shell Access to' $(hostname) 'on:' `date` `who` \
| mail -s "Alert: Root Access from `who | cut -d"(" -f2 | cut -d")" -f1`" YOUREMAIL
Адам
источник
2

Вы можете добавить соответствующую команду или вызвать скрипт из / etc / profile.

Джон Гарденье
источник
2

Имейте в виду, однако, что если ваш компьютер был взломан, для хакера это может быть тривиальной задачей - если предположить, что это не сценарий, о котором мы говорим - отключить функцию оповещения по электронной почте.

Максимус Минимус
источник
4
Да, именно поэтому я хочу, чтобы электронное письмо было отправлено, как только кто-то войдет в систему. - Сервер не получает так много логинов. Я полагаю, что таким образом это уменьшит шансы того, что кто-то сможет предотвратить отправку электронного письма об их первоначальном взломе (если через оболочку входа в систему).
LarryK
2

Я опубликовал скрипт на Github Gist, который делает то, что вы ищете. Он отправит электронное письмо системному администратору при каждом входе пользователя с нового IP-адреса. Я использую скрипт для тщательного изучения логинов в наших строго контролируемых производственных системах. Если вход в систему будет скомпрометирован, мы получим уведомление о необычном месте входа в систему и сможем заблокировать их в системе, прежде чем они нанесут серьезный ущерб.

Чтобы установить скрипт, просто обновите его электронной почтой sysadmin и скопируйте в /etc/profile.d/.

Эллиот Б.
источник
Пожалуйста, постарайтесь не копировать и не вставлять свои собственные ответы . Если вы чувствуете, что вопросы по сути одинаковы и одно и то же решение применимо к обоим, предпочтительный метод - пометить один вопрос как дубликат другого.
HBruijn
@HBruijn Я обдумал этот подход. Однако в этом случае оба вопроса похожи, но не повторяются, но один и тот же ответ по-прежнему применим к обоим.
Эллиот Б.