Надіслати електронний лист, коли хтось увійде

Моя система CentOS / RHEL, можливо, була зламана, я не впевнений. Але я граю в безпеку, створюючи новий фрагмент з нуля.

Я встановив tripwire, але мені також хочеться, щоб він був надісланий електронною поштою, коли хтось увійде в систему. Я не хочу чекати щоденного звіту про перегляд журналу, я хочу негайного електронного листа, коли хтось увійде в систему. Переважно і з їх IP-адресою.

Пропозиції?

Подібно до Надіслати сповіщення електронною поштою про запис файлу журналу? але, можливо, хтось має техніку для цього конкретного питання.

Дякую,

Ларрі

Додано: http://forums11.itrc.hp.com/service/forums/questionanswer.do?admit=109447626+1249534744623+28353475&threadId=698232 має кілька ідей

Ви повинні використовувати рішення для моніторингу журналу, як OSSEC , він буде шукати у ваших журналах інформацію про безпеку (включаючи логін, sudo тощо) та надсилатиме вам електронне повідомлення, коли важливе сповіщення.

Конфігурувати це легко, і ви можете підвищити рівень попередження для електронних листів або включити alert-by-emailспеціальне сповіщення.

Він також може настроювати активну відповідь, блокуючи IP-адреси та забороняючи доступ на певний період за замовчуванням.

Незначна зміна рішення Адамса, яке не порушується, якщо root увійшов у більш ніж один термінал:

login_info="$(who | head -n1 | cut -d'(' -f2 | cut -d')' -f1)"
message="$(
printf "ALERT - Root Shell Access (%s) on:\n" "$(hostname)"
date
echo
who
)"
mail -s "Alert: Root Access from ${login_info}" admin <<< "${message}"

Ви можете помістити це у свій .bashrc

echo 'ALERT - Root Shell Access to' $(hostname) 'on:' `date` `who` \
| mail -s "Alert: Root Access from `who | cut -d"(" -f2 | cut -d")" -f1`" YOUREMAIL

Ви можете додати відповідну команду до / або викликати скрипт із / etc / profile.

Будьте в курсі, що якщо ваша машина зламана, це може бути тривіальною задачею для хакера - припустимо, що це не дитячий скрипт, про який ми говоримо там, - відключити функцію оповіщення електронною поштою.

У цій статті описано, як надсилати електронну пошту для входу в SSH за допомогою PAM .

Я опублікував сценарій bash на Github Gist, який робить те, що ви шукаєте. Він відправить електронний лист системному адміністратору в будь-який час, коли користувач увійде з нової IP-адреси. Я використовую сценарій ретельно перевірених входів у наші жорстко контрольовані виробничі системи. Якщо вхід порушений, ми отримаємо сповіщення про незвичне місце входу та матимемо шанс заблокувати їх із системи, перш ніж вони завдають серйозної шкоди.

Щоб встановити скрипт, просто оновіть його електронною поштою sysadmin та скопіюйте його /etc/profile.d/.