Birisi oturum açtığında e-posta gönder

10

CentOS / RHEL sistemim saldırıya uğramış olabilir, emin değilim. Ama sıfırdan yeni bir dilim oluşturarak güvenli oynuyorum.

Tripwire yükledim, ancak herkes oturum açtığında da e-postayla gönderilmek istiyorum. Günlük kayıt raporu için beklemek istemiyorum, herkes oturum açtığında hemen bir e-posta istiyorum. Tercihen IP adresi ile de.

Öneriler?

Günlük dosyası girdisinde e-posta uyarısı göndermeye benzer misiniz ?ama belki birisinin bu sorun için bir tekniği vardır.

Teşekkürler,

Larry

Eklendi: http://forums11.itrc.hp.com/service/forums/questionanswer.do?admit=109447626+1249534744623+28353475&threadId=698232 bazı fikirleri var

linux  security  log-files  login 
LarryK
kaynak
1
Lütfen yörüngeden çek. i.stack.imgur.com/cFSC5.png
Jacob

Yanıtlar:

9

OSSEC gibi günlük izleme için bir çözüm kullanmalısınız , güvenlik bilgileri (oturum açma, sudo vb. Dahil) için günlüklerinize bakacak ve uyarı önemli olduğunda size bir e-posta gönderecektir.

Yapılandırması kolaydır ve e-postalar için uyarı seviyesini yükseltebilir veya alert-by-emailbelirli bir uyarıyı ekleyebilirsiniz .

Ayrıca yapılandırılabilir etkin yanıt, IP'leri engelleme ve varsayılan olarak belirli bir süre için erişimi reddetme de yapabilir.

chmeee
kaynak
4

Kök birden fazla terminale giriş yaparsa kırılmayan adams çözümünün hafif değişimi:

login_info="$(who | head -n1 | cut -d'(' -f2 | cut -d')' -f1)"
message="$(
printf "ALERT - Root Shell Access (%s) on:\n" "$(hostname)"
date
echo
who
)"
mail -s "Alert: Root Access from ${login_info}" admin <<< "${message}"
alexh
kaynak
4

bunu .bashrc'nize koyabilirsiniz

echo 'ALERT - Root Shell Access to' $(hostname) 'on:' `date` `who` \
| mail -s "Alert: Root Access from `who | cut -d"(" -f2 | cut -d")" -f1`" YOUREMAIL
Adem
kaynak
2

/ Etc / profile için uygun komutu ekleyebilir veya bir komut dosyasını çağırabilirsiniz.

John Gardeniers
kaynak
2

E-posta uyarı işlevini devre dışı bırakmak için, makineniz saldırıya uğradıysa, bilgisayar korsanı için önemsiz bir görev olabileceğini unutmayın.

Maximus Minimus
kaynak
4
Evet, bu yüzden kimse oturum açtığında bir e-posta gönderilmesini istiyorum. - Sunucu o kadar çok giriş yapmıyor. Bu şekilde, birisinin e-postasının ilk kırılmaları hakkında dışarı çıkmasını önleme olasılığını azaltacağını anlıyorum (eğer bir giriş kabuğu aracılığıyla).
LarryK
2

Github Gist'te aradığınızı yapan bir bash betiği yayınladım . Bir kullanıcı yeni bir IP adresinden her oturum açtığında sistem yöneticisine e-posta gönderir. Sıkı kontrol edilen üretim sistemlerimizde senaryo inceleme girişlerini kullanıyorum. Bir oturumun güvenliği ihlal edilirse, olağandışı oturum açma konumu hakkında bildirim alırız ve ciddi hasara neden olmadan bunları sistemden çıkarma şansımız olur.

Komut dosyasını yüklemek için sysadmin e-postanızla güncelleyin ve kopyalayın /etc/profile.d/.

Elliot B.
kaynak
Lütfen kendi cevaplarınızı kopyalayıp yapıştırmamaya çalışın . Soruların aslında aynı olduğunu ve aynı çözümün her ikisi için de geçerli olduğunu düşünüyorsanız, bir soruyu diğerinin kopyası olarak işaretlemektir .
HBruijn
@HBruijn Bu yaklaşımı düşündüm. Ancak, bu durumda, iki soru benzerdir, ancak yinelenmez - yine de her ikisi için de aynı cevap geçerlidir.
Elliot
Sitemizi kullandığınızda şunları okuyup anladığınızı kabul etmiş olursunuz: Çerez Politikası ve Gizlilik Politikası.
Licensed under cc by-sa 3.0 with attribution required.