Invia email quando qualcuno accede

10

Il mio sistema CentOS / RHEL potrebbe essere stato violato, non ne sono sicuro. Ma sto giocando sul sicuro creando una nuova fetta da zero.

Ho installato tripwire, ma mi piacerebbe anche ricevere un'e-mail quando qualcuno accede. Non voglio aspettare il rapporto logwatch giornaliero, voglio un'e-mail immediata quando qualcuno accede. Preferibilmente anche con il loro indirizzo IP.

Suggerimenti?

Simile a Invia avviso e-mail sulla voce del file di registro? ma forse qualcuno ha una tecnica per questo problema specifico.

Grazie,

Larry

Aggiunto: http://forums11.itrc.hp.com/service/forums/questionanswer.do?admit=109447626+1249534744623+28353475&threadId=698232 ha alcune idee

linux  security  log-files  login 
LarryK
fonte
1
Per favore, ammazzalo dall'orbita. i.stack.imgur.com/cFSC5.png
Jacob

Risposte:

9

Dovresti usare una soluzione per il monitoraggio dei log come OSSEC , cercherà nei tuoi log le informazioni di sicurezza (incluso login, sudo, ecc.) E ti invierà un'e-mail quando l'avviso è importante.

È facile da configurare e puoi aumentare il livello di avviso per le e-mail o includere un alert-by-emailavviso specifico.

Può anche configurare una risposta attiva configurabile, bloccando gli IP e negando l'accesso per un periodo di tempo predefinito.

chmeee
fonte
4

Leggero cambiamento della soluzione di Adams che non si interrompe se root è connesso a più di un terminale:

login_info="$(who | head -n1 | cut -d'(' -f2 | cut -d')' -f1)"
message="$(
printf "ALERT - Root Shell Access (%s) on:\n" "$(hostname)"
date
echo
who
)"
mail -s "Alert: Root Access from ${login_info}" admin <<< "${message}"
alexh
fonte
4

potresti metterlo nel tuo .bashrc

echo 'ALERT - Root Shell Access to' $(hostname) 'on:' `date` `who` \
| mail -s "Alert: Root Access from `who | cut -d"(" -f2 | cut -d")" -f1`" YOUREMAIL
Adamo
fonte
2

È possibile aggiungere il comando appropriato o chiamare uno script da / etc / profile.

John Gardeniers
fonte
2

Tieni presente, tuttavia, che se il tuo computer è stato violato, potrebbe essere un compito banale per l'hacker - supponendo che non sia un kiddie di script di cui stiamo parlando lì - disabilitare la funzione di avviso via email.

Maximus Minimus
fonte
4
Sì, è per questo che voglio che venga inviata un'e-mail non appena qualcuno accede. - Il server non riceve così tanti accessi. Immagino che in questo modo ridurrà le probabilità che qualcuno sia in grado di impedire all'e-mail di uscire dal loro breakin iniziale (se tramite una shell di login).
LarryK,
2

Ho pubblicato uno script bash su Github Gist che fa quello che stai cercando. Invierà un'email all'amministratore di sistema ogni volta che un utente accede da un nuovo indirizzo IP. Uso lo script scrutando gli accessi sui nostri sistemi di produzione strettamente controllati. Se un accesso è compromesso, verremmo avvisati della posizione di accesso insolita e avremmo la possibilità di bloccarli fuori dal sistema prima che possano causare gravi danni.

Per installare lo script, è sufficiente aggiornarlo con l'e-mail di sysadmin e copiarlo /etc/profile.d/.

Elliot B.
fonte
Prova a non copiare e incollare le tue risposte . Se ritieni che le domande siano essenzialmente le stesse e la stessa soluzione sia per il metodo preferito sia per contrassegnare una domanda come duplicata dell'altra.
HBruijn,
@HBruijn Ho considerato questo approccio. Tuttavia, in questo caso, le due domande sono simili, ma non duplicate, ma la stessa risposta vale ancora per entrambe.
Elliot B.
Utilizzando il nostro sito, riconosci di aver letto e compreso le nostre Informativa sui cookie e Informativa sulla privacy.
Licensed under cc by-sa 3.0 with attribution required.