Kirim email saat ada yang masuk

10

Sistem CentOS / RHEL saya mungkin telah diretas, saya tidak yakin. Tapi saya bermain aman dengan membuat irisan baru dari awal.

Saya telah menginstal tripwire, tetapi saya juga ingin diemail ketika ada yang login. Saya tidak ingin menunggu laporan logwatch harian, saya ingin email langsung ketika ada yang login. Lebih disukai dengan alamat ip mereka juga.

Saran?

Mirip dengan Kirim peringatan email pada entri file log? tetapi mungkin seseorang memiliki teknik untuk masalah khusus ini.

Terima kasih,

Larry

Ditambahkan: http://forums11.itrc.hp.com/service/forums/questionanswer.do?admit=109447626+1249534744623+28353475&threadId=698232 memiliki beberapa ide

linux security log-files login LarryK
sumber
1
Tolong nuke dari orbit. i.stack.imgur.com/cFSC5.png
Jacob

Jawaban:

9

Anda harus menggunakan solusi untuk pemantauan log seperti OSSEC , itu akan mencari informasi keamanan log Anda (termasuk login, sudo, dll.) Dan mengirimi Anda email ketika peringatan itu penting.

Sangat mudah untuk mengkonfigurasi dan Anda dapat meningkatkan tingkat peringatan untuk email atau memasukkan alert-by-emailperingatan khusus.

Ini juga dapat melakukan respons aktif yang dapat dikonfigurasi, memblokir IP, dan menolak akses selama periode waktu secara default.

chmeee
sumber
4

Sedikit perubahan pada solusi adams yang tidak pecah jika root login ke lebih dari satu terminal:

login_info="$(who | head -n1 | cut -d'(' -f2 | cut -d')' -f1)"
message="$(
printf "ALERT - Root Shell Access (%s) on:\n" "$(hostname)"
date
echo
who
)"
mail -s "Alert: Root Access from ${login_info}" admin <<< "${message}"
alexh
sumber
4

Anda bisa meletakkan ini di .bashrc Anda

echo 'ALERT - Root Shell Access to' $(hostname) 'on:' `date` `who` \
| mail -s "Alert: Root Access from `who | cut -d"(" -f2 | cut -d")" -f1`" YOUREMAIL
adam
sumber
2

Anda dapat menambahkan perintah yang sesuai, atau memanggil skrip dari, / etc / profile.

John Gardeniers
sumber
2

Perlu diketahui juga bahwa jika mesin Anda diretas, ini mungkin tugas sepele bagi peretas - dengan asumsi itu bukan skrip yang kita bicarakan di sana - untuk menonaktifkan fungsi peringatan email.

Maximus Minimus
sumber
4
Ya, itu sebabnya saya ingin email dikirim segera setelah ada orang yang login. - Server tidak mendapatkan banyak login. Saya pikir cara itu akan menurunkan kemungkinan seseorang dapat mencegah email keluar tentang breakin awal mereka (jika melalui shell login).
LarryK
2

Saya menerbitkan skrip bash di Github Gist yang melakukan apa yang Anda cari. Ini akan mengirim email kepada administrator sistem kapan saja pengguna masuk dari alamat IP baru. Saya menggunakan skrip meneliti login pada sistem produksi kami yang dikontrol ketat. Jika login terganggu, kami akan diberi tahu tentang lokasi masuk yang tidak biasa dan memiliki kesempatan untuk mengunci mereka dari sistem sebelum menyebabkan kerusakan serius.

Untuk menginstal skrip, cukup perbarui dengan email sysadmin Anda, dan salin ke /etc/profile.d/.

Elliot B.
sumber
Cobalah untuk tidak menyalin dan menempelkan jawaban Anda sendiri . Jika Anda merasa bahwa pertanyaan pada dasarnya sama dan solusi yang sama berlaku untuk kedua metode yang disukai adalah menandai satu pertanyaan sebagai duplikat dari yang lain.
HBruijn
@Bruijn Saya mempertimbangkan pendekatan itu. Namun, dalam kasus ini, kedua pertanyaan serupa, tetapi tidak sama - namun jawaban yang sama masih berlaku untuk keduanya.
Elliot B.