Gửi email khi có ai đăng nhập

10

Hệ thống CentOS / RHEL của tôi có thể đã bị hack, tôi không chắc chắn. Nhưng tôi đang chơi nó an toàn bằng cách tạo ra một lát cắt mới từ đầu.

Tôi đã cài đặt tripwire, nhưng tôi cũng muốn được gửi email khi có ai đăng nhập. Tôi không muốn đợi báo cáo nhật ký hàng ngày, tôi muốn có email ngay lập tức khi có ai đăng nhập. Tốt nhất là với địa chỉ IP của họ.

Gợi ý?

Tương tự như Gửi email cảnh báo khi nhập tệp nhật ký? nhưng có lẽ ai đó có một kỹ thuật cho vấn đề cụ thể này.

Cảm ơn,

Larry

Đã thêm: http://forums11.itrc.hp.com/service/forums/questionanswer.do?admit=109447626+1249534744623+28353475&threadId=698232 có một số ý tưởng

linux  security  log-files  login 
Larry
nguồn
1
Hãy nuke nó từ quỹ đạo. i.stack.imgur.com/cFSC5.png
Jacob

Câu trả lời:

9

Bạn nên sử dụng một giải pháp để theo dõi nhật ký như OSSEC , nó sẽ xem nhật ký của bạn để biết thông tin bảo mật (bao gồm đăng nhập, sudo, v.v.) và gửi cho bạn một e-mail khi cảnh báo quan trọng.

Thật dễ dàng để định cấu hình và bạn có thể tăng mức cảnh báo cho e-mail hoặc bao gồm một alert-by-emailcảnh báo cụ thể.

Nó cũng có thể thực hiện phản hồi hoạt động có thể định cấu hình, chặn IP và từ chối truy cập trong một khoảng thời gian theo mặc định.

cheeee
nguồn
4

Thay đổi một chút về giải pháp adams không bị hỏng nếu root được đăng nhập vào nhiều thiết bị đầu cuối:

login_info="$(who | head -n1 | cut -d'(' -f2 | cut -d')' -f1)"
message="$(
printf "ALERT - Root Shell Access (%s) on:\n" "$(hostname)"
date
echo
who
)"
mail -s "Alert: Root Access from ${login_info}" admin <<< "${message}"
alexh
nguồn
4

bạn có thể đặt cái này trong .bashrc

echo 'ALERT - Root Shell Access to' $(hostname) 'on:' `date` `who` \
| mail -s "Alert: Root Access from `who | cut -d"(" -f2 | cut -d")" -f1`" YOUREMAIL
adam
nguồn
2

Bạn có thể thêm lệnh thích hợp vào hoặc gọi một tập lệnh từ, / etc / profile.

John Gardeniers
nguồn
2

Mặc dù vậy, hãy lưu ý rằng nếu máy của bạn đã bị hack thì đó có thể là một nhiệm vụ tầm thường đối với tin tặc - giả sử đó không phải là một tập lệnh mà chúng ta đang nói ở đó - để vô hiệu hóa chức năng cảnh báo email.

Maximus Minimus
nguồn
4
Vâng, đó là lý do tại sao tôi muốn gửi email ngay khi có ai đó đăng nhập. - Máy chủ không nhận được nhiều thông tin đăng nhập. Tôi nghĩ theo cách đó nó sẽ làm giảm tỷ lệ người nào đó có thể ngăn email đi ra khỏi breakin ban đầu của họ (nếu thông qua một vỏ đăng nhập).
LarryK
2

Tôi đã xuất bản một tập lệnh bash trên Github Gist, đó là những gì bạn đang tìm kiếm. Nó sẽ gửi email cho quản trị viên hệ thống bất cứ khi nào người dùng đăng nhập từ một địa chỉ IP mới. Tôi sử dụng kịch bản kiểm tra các thông tin đăng nhập trên các hệ thống sản xuất được kiểm soát chặt chẽ của chúng tôi. Nếu đăng nhập bị xâm phạm, chúng tôi sẽ được thông báo về vị trí đăng nhập bất thường và có cơ hội khóa chúng khỏi hệ thống trước khi chúng gây ra thiệt hại nghiêm trọng.

Để cài đặt tập lệnh, chỉ cần cập nhật nó với email sysadmin của bạn và sao chép nó vào /etc/profile.d/.

Elliot B.
nguồn
Hãy cố gắng không sao chép và dán câu trả lời của riêng bạn . Nếu bạn cảm thấy rằng các câu hỏi về cơ bản là giống nhau và cùng một giải pháp áp dụng cho cả phương pháp ưa thích là đánh dấu một câu hỏi là trùng lặp với câu hỏi kia.
HBruijn
@HBruijn Tôi đã xem xét phương pháp đó. Tuy nhiên, trong trường hợp này, hai câu hỏi tương tự nhau, nhưng không trùng lặp - tuy nhiên câu trả lời giống nhau vẫn áp dụng cho cả hai.
Elliot B.
Khi sử dụng trang web của chúng tôi, bạn xác nhận rằng bạn đã đọc và hiểu Chính sách cookieChính sách bảo mật của chúng tôi.
Licensed under cc by-sa 3.0 with attribution required.