Enviar email quando alguém fizer logon

10

Meu sistema CentOS / RHEL pode ter sido invadido, não tenho certeza. Mas estou jogando pelo seguro criando uma nova fatia do zero.

Instalei o tripwire, mas também gostaria de ser enviado por e-mail quando alguém fizer login. Não quero esperar pelo relatório diário do watchwatch, quero um e-mail imediato quando alguém fizer login. De preferência com o endereço IP também.

Sugestões?

Semelhante a Enviar alerta por email na entrada do arquivo de log? mas talvez alguém tenha uma técnica para esse problema específico.

Obrigado,

Larry

Adicionado: http://forums11.itrc.hp.com/service/forums/questionanswer.do?admit=109447626+1249534744623+28353475&threadId=698232 tem algumas idéias

linux security log-files login LarryK
fonte
1
Por favor, tire-o da órbita. i.stack.imgur.com/cFSC5.png
Jacob

Respostas:

9

Você deve usar um solucion para o monitoramento de logs, como o OSSEC , ele procurará nos seus logs informações de segurança (incluindo login, sudo etc.) e enviará um e-mail quando o alerta for importante.

É fácil de configurar e você pode aumentar o nível de alerta para emails ou incluir um alert-by-emailalerta específico.

Ele também pode executar resposta ativa configurável, bloqueando IPs e negando acesso por um período de tempo por padrão.

chmeee
fonte
4

Pequena mudança na solução adams que não quebra se o root estiver conectado a mais de um terminal:

login_info="$(who | head -n1 | cut -d'(' -f2 | cut -d')' -f1)"
message="$(
printf "ALERT - Root Shell Access (%s) on:\n" "$(hostname)"
date
echo
who
)"
mail -s "Alert: Root Access from ${login_info}" admin <<< "${message}"
alexh
fonte
4

você pode colocar isso no seu .bashrc

echo 'ALERT - Root Shell Access to' $(hostname) 'on:' `date` `who` \
| mail -s "Alert: Root Access from `who | cut -d"(" -f2 | cut -d")" -f1`" YOUREMAIL
Adão
fonte
2

Você pode adicionar o comando apropriado ou chamar um script em / etc / profile.

John Gardeniers
fonte
2

Esteja ciente de que, se sua máquina foi invadida, pode ser uma tarefa trivial para o hacker - supondo que não seja um script kiddie de que estamos falando lá - desativar a função de alerta por email.

Maximus Minimus
fonte
4
Sim, é por isso que desejo que um e-mail seja enviado assim que alguém fizer login. - O servidor não recebe tantos logins. Eu acho que dessa maneira diminuirá as chances de alguém ser capaz de impedir que o e-mail seja divulgado sobre o seu ataque inicial (se for por meio de um shell de login).
LarryK
2

Publiquei um script bash no Github Gist que faz o que você está procurando. Ele enviará um email ao administrador do sistema sempre que um usuário fizer login a partir de um novo endereço IP. Uso o script para examinar logins em nossos sistemas de produção rigidamente controlados. Se um logon for comprometido, seremos notificados sobre o local incomum de logon e teremos a chance de bloqueá-los para fora do sistema antes que causem sérios danos.

Para instalar o script, basta atualizá-lo com seu email sysadmin e copiá-lo para /etc/profile.d/.

Elliot B.
fonte
Por favor, tente não copiar e colar suas próprias respostas . Se você acha que as perguntas são essencialmente as mesmas e a mesma solução se aplica a ambos, o método preferido é marcar uma pergunta como duplicada da outra.
precisa saber é o seguinte
@HBruijn Eu considerei essa abordagem. No entanto, neste caso, as duas perguntas são semelhantes, mas não duplicadas - mas a mesma resposta ainda se aplica a ambas.
Elliot B.