Envoyer un e-mail lorsque quelqu'un se connecte

10

Mon système CentOS / RHEL a peut-être été piraté, je ne suis pas sûr. Mais je joue en toute sécurité en créant une nouvelle tranche à partir de zéro.

J'ai installé tripwire, mais j'aimerais également recevoir un e-mail lorsque quelqu'un se connecte. Je ne veux pas attendre le rapport journalier de surveillance, je veux un e-mail immédiat lorsque quelqu'un se connecte. De préférence avec son adresse IP également.

Suggestions?

Similaire à Envoyer une alerte par e-mail à l'entrée du fichier journal? mais peut-être que quelqu'un a une technique pour ce problème spécifique.

Merci,

Larry

Ajouté: http://forums11.itrc.hp.com/service/forums/questionanswer.do?admit=109447626+1249534744623+28353475&threadId=698232 a quelques idées

linux security log-files login LarryK
la source
1
Veuillez le neutraliser de l'orbite. i.stack.imgur.com/cFSC5.png
Jacob

Réponses:

9

Vous devez utiliser une solution pour la surveillance des journaux comme OSSEC , elle recherchera dans vos journaux des informations de sécurité (y compris la connexion, sudo, etc.) et vous enverra un e-mail lorsque l'alerte est importante.

Il est facile à configurer et vous pouvez augmenter le niveau d'alerte pour les e-mails ou inclure un alert-by-emailsur l'alerte spécifique.

Il peut également effectuer une réponse active configurable, bloquer les adresses IP et refuser l'accès pendant une période de temps par défaut.

chmeee
la source
4

Légère modification de la solution d'Adams qui ne se casse pas si root est connecté à plusieurs terminaux:

login_info="$(who | head -n1 | cut -d'(' -f2 | cut -d')' -f1)"
message="$(
printf "ALERT - Root Shell Access (%s) on:\n" "$(hostname)"
date
echo
who
)"
mail -s "Alert: Root Access from ${login_info}" admin <<< "${message}"
alexh
la source
4

vous pouvez mettre cela dans votre .bashrc

echo 'ALERT - Root Shell Access to' $(hostname) 'on:' `date` `who` \
| mail -s "Alert: Root Access from `who | cut -d"(" -f2 | cut -d")" -f1`" YOUREMAIL
Adam
la source
2

Vous pouvez ajouter la commande appropriée ou appeler un script à partir de / etc / profile.

John Gardeniers
la source
2

Sachez cependant que si votre machine a été piratée, cela peut être une tâche triviale pour le pirate - en supposant que ce n'est pas un script kiddie dont nous parlons là - pour désactiver la fonction d'alerte par e-mail.

Maximus Minimus
la source
4
Oui, c'est pourquoi je veux qu'un email soit envoyé dès que quelqu'un se connecte. - Le serveur n'obtient pas autant de connexions. J'imagine que cela réduira les chances que quelqu'un puisse empêcher le courrier électronique de sortir de sa rupture initiale (si via un shell de connexion).
LarryK
2

J'ai publié un script bash sur Github Gist qui fait ce que vous cherchez. Il enverra un e-mail à l'administrateur système chaque fois qu'un utilisateur se connecte à partir d'une nouvelle adresse IP. J'utilise le script pour analyser les connexions sur nos systèmes de production étroitement contrôlés. Si une connexion est compromise, nous serions informés de l'emplacement de connexion inhabituel et aurions une chance de les verrouiller du système avant qu'ils ne causent de graves dommages.

Pour installer le script, il suffit de le mettre à jour avec votre e-mail sysadmin et de le copier dans /etc/profile.d/.

Elliot B.
la source
Veuillez ne pas copier-coller vos propres réponses . Si vous estimez que les questions sont essentiellement les mêmes et que la même solution s'applique aux deux, la méthode préférée consiste à marquer une question comme doublon de l'autre.
HBruijn
@HBruijn J'ai considéré cette approche. Cependant, dans ce cas, les deux questions sont similaires, mais pas en double - mais la même réponse s'applique toujours aux deux.
Elliot B.