Enviar email quando alguém fizer logon

9

Meu sistema CentOS / RHEL pode ter sido invadido, não tenho certeza. Mas estou jogando pelo seguro criando uma nova fatia do zero.

Instalei o tripwire, mas também gostaria de receber um email quando alguém fizer login. Não quero aguardar o relatório de logwatch diário, quero um email imediato quando alguém faz login. De preferência com o ip endereço também.

Sugestões?

Semelhante a Enviar alerta de email na entrada do arquivo de log? mas talvez alguém tenha uma técnica para esse problema específico.

Obrigado,

Larry

Adicionado: link tem alguns ideias

    
por LarryK 06.08.2009 / 06:57

7 respostas

8

Você deve usar uma solução para o monitoramento de logs como OSSEC , ele procurará em seus registros por informações de segurança (incluindo login, sudo, etc. .) e enviar um e-mail quando o alerta for importante.

É fácil de configurar e você pode aumentar o nível de alerta para e-mails ou incluir um alert-by-email no alerta específico.

Também pode fazer resposta ativa configurável, bloquear IPs e negar acesso por um período de tempo por padrão.

    
por 06.08.2009 / 07:20
3

Ligeira alteração da solução adams que não quebra se a raiz está logada em mais de um terminal:

login_info="$(who | head -n1 | cut -d'(' -f2 | cut -d')' -f1)"
message="$(
printf "ALERT - Root Shell Access (%s) on:\n" "$(hostname)"
date
echo
who
)"
mail -s "Alert: Root Access from ${login_info}" admin <<< "${message}"
    
por 19.07.2016 / 14:38
3

você pode colocar isso no seu .bashrc

echo 'ALERT - Root Shell Access to' $(hostname) 'on:' 'date' 'who' \
| mail -s "Alert: Root Access from 'who | cut -d"(" -f2 | cut -d")" -f1'" YOUREMAIL
    
por 28.02.2012 / 23:33
1

Você pode adicionar o comando apropriado ou chamar um script de / etc / profile.

    
por 06.08.2009 / 08:02
1

Esteja ciente de que, se a sua máquina foi hackeada, pode ser uma tarefa trivial para o hacker - supondo que não seja um script infantil sobre o qual estamos falando - para desativar a função de alerta por e-mail.

    
por 06.08.2009 / 10:28
1

Este artigo descreve como Enviar e-mail no login do SSH usando o PAM .

    
por 28.02.2012 / 22:37
1

Eu publiquei um script bash no Github Gist que faz o que você está procurando. Ele enviará um e-mail ao administrador do sistema sempre que um usuário fizer login em um novo endereço IP. Eu uso o script examinar os logins em nossos sistemas de produção rigidamente controlados. Se um login for comprometido, seremos notificados sobre o local de login incomum e teremos a chance de bloqueá-lo fora do sistema antes que eles causem danos sérios.

Para instalar o script, basta atualizá-lo com seu e-mail sysadmin e copiá-lo para /etc/profile.d/ .

    
por 04.06.2018 / 22:02