Wyślij e-mail, gdy ktoś się zaloguje

10

Mój system CentOS / RHEL mógł zostać zhakowany, nie jestem pewien. Ale gram bezpiecznie, tworząc od nowa nowy kawałek.

Zainstalowałem tripwire, ale chciałbym również otrzymywać e-maile, gdy ktoś się zaloguje. Nie chcę czekać na codzienny raport z logwatcha, chcę natychmiastowego e-maila, gdy ktoś się zaloguje. Najlepiej, podając również adres IP.

Propozycje?

Podobny do Wyślij alert e-mail o wpisie pliku dziennika? ale może ktoś ma technikę tego konkretnego problemu.

Dzięki,

Larry

Dodano: http://forums11.itrc.hp.com/service/forums/questionanswer.do?admit=109447626+1249534744623+28353475&threadId=698232 ma kilka pomysłów

linux security log-files login LarryK
źródło
1
Proszę, odrzuć to z orbity. i.stack.imgur.com/cFSC5.png
Jacob

Odpowiedzi:

9

Powinieneś użyć rozwiązania do monitorowania logów, takiego jak OSSEC , będzie szukał w logach informacji dotyczących bezpieczeństwa (w tym logowania, sudo itp.) I wyśle ​​ci e-mail, gdy alert jest ważny.

Jest łatwy do skonfigurowania i można podnieść poziom alertu dla wiadomości e-mail lub dołączyć alert-by-emailkonkretny alert.

Może również wykonywać konfigurowalną aktywną reakcję, domyślnie blokując adresy IP i odmawiając dostępu.

chmeee
źródło
4

Niewielka zmiana rozwiązania Adams, która nie pęka, jeśli root jest zalogowany na więcej niż jednym terminalu:

login_info="$(who | head -n1 | cut -d'(' -f2 | cut -d')' -f1)"
message="$(
printf "ALERT - Root Shell Access (%s) on:\n" "$(hostname)"
date
echo
who
)"
mail -s "Alert: Root Access from ${login_info}" admin <<< "${message}"
alexh
źródło
4

możesz umieścić to w swoim .bashrc

echo 'ALERT - Root Shell Access to' $(hostname) 'on:' `date` `who` \
| mail -s "Alert: Root Access from `who | cut -d"(" -f2 | cut -d")" -f1`" YOUREMAIL
Adam
źródło
2

Możesz dodać odpowiednie polecenie lub wywołać skrypt z / etc / profile.

John Gardeniers
źródło
2

Pamiętaj jednak, że jeśli włamano się na twoją maszynę, może to być trywialne zadanie dla hakera - zakładając, że nie chodzi tu o skrypciarza - aby wyłączyć funkcję powiadamiania e-mailem.

Maximus Minimus
źródło
4
Tak, dlatego chcę, aby wiadomość e-mail została wysłana, gdy tylko ktoś się zaloguje. - Serwer nie otrzymuje tylu danych logowania. Myślę, że w ten sposób zmniejszy szanse, że ktoś będzie w stanie zapobiec wysyłaniu wiadomości e-mail o swoim początkowym włamaniu (jeśli za pośrednictwem powłoki logowania).
LarryK,
2

Opublikowałem skrypt bash na Github Gist, który robi to, czego szukasz. Wyśle e-mail do administratora systemu za każdym razem, gdy użytkownik zaloguje się z nowego adresu IP. Używam skryptu do kontroli logowania na naszych ściśle kontrolowanych systemach produkcyjnych. Jeśli dane logowania zostaną naruszone, otrzymamy powiadomienie o nietypowej lokalizacji logowania i mamy szansę zablokować je w systemie, zanim spowodują poważne szkody.

Aby zainstalować skrypt, po prostu zaktualizuj go przy użyciu wiadomości e-mail sysadmin i skopiuj do /etc/profile.d/.

Elliot B.
źródło
Spróbuj nie kopiować i wklejać własnych odpowiedzi . Jeśli uważasz, że pytania są zasadniczo takie same i to samo rozwiązanie dotyczy obu preferowanych metod, oznacz jedno pytanie jako duplikat drugiego.
HBruijn
@HBruijn Rozważyłem to podejście. Jednak w tym przypadku dwa pytania są podobne, ale nie dublują się - jednak ta sama odpowiedź nadal dotyczy obu.
Elliot B.