Моя система CentOS / RHEL могла быть взломана, я не уверен. Но я перестраховываюсь, создавая новый фрагмент с нуля.
Я установил tripwire, но я также хотел бы получать электронную почту, когда кто-нибудь входит в систему. Я не хочу ждать ежедневного отчета logwatch, я хочу немедленное получение электронной почты, когда кто-либо входит в систему. Желательно также с их IP-адресом.
Предложения?
Похожий на Отправлять оповещение по электронной почте о записи файла журнала? но, возможно, у кого-то есть методика для этой конкретной проблемы.
Спасибо,
Ларри
Добавлено: http://forums11.itrc.hp.com/service/forums/questionanswer.do?admit=109447626+1249534744623+28353475&threadId=698232 есть идеи
Вы должны использовать решение для мониторинга журналов, например OSSEC, он будет искать в ваших журналах информацию о безопасности (включая логин, sudo и т. д.) и отправлять вам электронное письмо, когда предупреждение является важным.
Его легко настроить, и вы можете повысить уровень предупреждений для электронной почты или включить alert-by-email о конкретном предупреждении.
Он также может настраивать активный ответ, блокировать IP-адреса и запрещать доступ на определенный период времени по умолчанию.
вы можете поместить это в свой .bashrc
echo 'ALERT - Root Shell Access to' $(hostname) 'on:' `date` `who` \
| mail -s "Alert: Root Access from `who | cut -d"(" -f2 | cut -d")" -f1`" YOUREMAIL
Небольшое изменение решения adams, которое не ломается, если root вошел в более чем один терминал:
login_info="$(who | head -n1 | cut -d'(' -f2 | cut -d')' -f1)"
message="$(
printf "ALERT - Root Shell Access (%s) on:\n" "$(hostname)"
date
echo
who
)"
mail -s "Alert: Root Access from ${login_info}" admin <<< "${message}"
Вы можете добавить соответствующую команду или вызвать сценарий из / etc / profile.
Однако имейте в виду, что если ваша машина была взломана, для хакера может оказаться тривиальной задачей - если мы говорим здесь не о скриптовом детективе - отключить функцию оповещения по электронной почте.
В этой статье описывается, как Отправить электронное письмо при входе по SSH с помощью PAM.
Я опубликовал bash скрипт на Github Gist, который делает то, что вы ищете. Он будет отправлять электронное письмо системному администратору каждый раз, когда пользователь входит в систему с нового IP-адреса. Я использую сценарий для тщательной проверки логинов в наших жестко контролируемых производственных системах. Если логин скомпрометирован, мы получим уведомление о необычном месте входа в систему и сможем заблокировать их доступ к системе, прежде чем они нанесут серьезный ущерб.
Чтобы установить сценарий, просто обновите его, указав адрес электронной почты системного администратора, и скопируйте его в /etc/profile.d/.