Enviar email quando alguém fizer logon

Você deve usar uma solução para o monitoramento de logs como OSSEC , ele procurará em seus registros por informações de segurança (incluindo login, sudo, etc. .) e enviar um e-mail quando o alerta for importante.

É fácil de configurar e você pode aumentar o nível de alerta para e-mails ou incluir um alert-by-email no alerta específico.

Também pode fazer resposta ativa configurável, bloquear IPs e negar acesso por um período de tempo por padrão.

Ligeira alteração da solução adams que não quebra se a raiz está logada em mais de um terminal:

login_info="$(who | head -n1 | cut -d'(' -f2 | cut -d')' -f1)"
message="$(
printf "ALERT - Root Shell Access (%s) on:\n" "$(hostname)"
date
echo
who
)"
mail -s "Alert: Root Access from ${login_info}" admin <<< "${message}"

você pode colocar isso no seu .bashrc

echo 'ALERT - Root Shell Access to' $(hostname) 'on:' 'date' 'who' \
| mail -s "Alert: Root Access from 'who | cut -d"(" -f2 | cut -d")" -f1'" YOUREMAIL

Você pode adicionar o comando apropriado ou chamar um script de / etc / profile.

Esteja ciente de que, se a sua máquina foi hackeada, pode ser uma tarefa trivial para o hacker - supondo que não seja um script infantil sobre o qual estamos falando - para desativar a função de alerta por e-mail.

Este artigo descreve como Enviar e-mail no login do SSH usando o PAM .

Eu publiquei um script bash no Github Gist que faz o que você está procurando. Ele enviará um e-mail ao administrador do sistema sempre que um usuário fizer login em um novo endereço IP. Eu uso o script examinar os logins em nossos sistemas de produção rigidamente controlados. Se um login for comprometido, seremos notificados sobre o local de login incomum e teremos a chance de bloqueá-lo fora do sistema antes que eles causem danos sérios.

Para instalar o script, basta atualizá-lo com seu e-mail sysadmin e copiá-lo para /etc/profile.d/ .