O envio de correio automático no ssh-login falha

Navegue suas respostas
1

Estou tentando deixar meu servidor me enviar automaticamente um e-mail em ssh-login.

O que eu fiz:

  1. Criado um arquivo login-notify.sh (raiz do usuário, raiz do grupo, chmod 755) e colocado dentro de /etc/ssh/ 

    #!/bin/sh 
if [ "$PAM_TYPE" != "close_session" ]; then
    # assembling my variable $TEXT ...
echo $TEXT | mail -r "root@.... " - s "Subject line" root

  2. /etc/pam.d/sshd modificado: 

    echo "session required pam_exec.so seteuid /etc/ssh/login-notify.sh" | sudo tee -a /etc/pam.d/sshd

  3. reiniciou o servidor sshd e até reinicializou a máquina

  4. Ativou manualmente /etc/ssh/login-notify.sh - > correio enviado com sucesso

  5. Conectado por meio de ssh - > nenhum email foi enviado

Etapas de adição / informações

  1. para enviar e-mails a partir da linha de comando Eu uso o ssmtp e uma conta do gmail

  2. em vez de enviar um email Tentei acrescentar uma string a um arquivo e ver se funciona (echo "ssh login > / home / usuário / ssh-test) - > sem sorte .. .

    3. O servidor

  3. só aceita autenticação pública / chave para ssh-logins

  4. /var/log/syslog não fornece informações úteis: 

    Dec 27 14:20:51 srv1 fwknopd[2155]: Removed rule 1 from FWKNOP_INPUT with expire time of 1419686451 
Dec 27 14:41:48 srv1 fwknopd[2155]: (stanza #1) SPA Packet from IP: xxx.xxx.xxx.xxx received with Access source match 
Dec 27 14:41:48 srv1 fwknopd[2155]: [xxx.xxx.xxx.xxx] (stanza #1) Incoming SPA data signed by 'XXXXXX'. 
Dec 27 14:41:48 srv1 fwknopd[2155]: Added Rule to FWKNOP_INPUT for xxx.xxx.xxx.xxx, tcp/xxx expires at 1419687738

    Após essa linha eu fiz o login através do ssh ... nenhum texto adicional foi escrito para /var/log/syslog

por vigri 27.12.2014 / 14:49

2 respostas

1

hm, instale o firewall csf ou o OSSEC, com a funcionalidade incorporada de que você precisa ... de acordo com a linha de assunto da sua pergunta.

Firewall do CSF: 

lfd on cluster-master-acl: SSH login alert for user root from 86.234.45.45 (IE/Ireland/cm-86.234.45.045.ntlworld.ie)

Time:    Fri Dec 26 13:59:51 2014 +0000
IP:      86.234.45.45 (IE/Ireland/cm-86.234.45.045.ntlworld.ie)
Account: root
Method:  publickey authentication

. 

lfd on web1: SU login alert - Successful login from admin(uid=0) to root
Time:    Sat Dec 27 11:45:26 2014 -0500
From:    admin(uid=0)
To:      root
Status:  Successful login

OSSEC: 

OSSEC HIDS Notification.
2014 Dec 28 10:58:53

Received From: (web-node-3) 138.71.183.65->/var/log/secure
Rule: 1002 fired (level 2) -> "Unknown problem somewhere in the system."
Portion of the log(s):

Dec 28 05:58:49 ID13412 sudo: pam_unix(sudo:auth): conversation failed

e assim por diante na verdade, você pode modificar alertas como você precisa deles.

link
link

    
por 27.12.2014 / 17:55
1

Não torne isso muito complicado. Você pode configurar fail2ban apenas com uma ação somente de e-mail para notificá-lo em tentativas com falha.

    
por 28.12.2014 / 12:41

Tags

Como executar o prompt do mysql no windows powershell ISE? Como proteger apenas uma página com SSL no Apache2?