जब कोई लॉग ऑन करे तो ईमेल भेजें

10

मेरा CentOS / RHEL सिस्टम हैक हो सकता है, मुझे यकीन नहीं है। लेकिन मैं इसे खरोंच से एक नया टुकड़ा बनाकर सुरक्षित खेल रहा हूं।

मैंने ट्रिपवायर स्थापित किया है, लेकिन मैं यह भी ईमेल करना पसंद करूंगा जब कोई भी लॉग इन करता है। मैं दैनिक लॉगवॉच रिपोर्ट के लिए इंतजार नहीं करना चाहता हूं, जब कोई भी लॉग इन करता है तो मैं तत्काल ईमेल चाहता हूं। अधिमानतः उनके आईपी पते के साथ भी।

सुझाव?

लॉग फ़ाइल प्रविष्टि पर ईमेल अलर्ट भेजने के समान ? लेकिन शायद किसी के पास इस विशिष्ट मुद्दे के लिए एक तकनीक है।

धन्यवाद,

लैरी

जोड़ा गया: http://forums11.itrc.hp.com/service/forums/questionanswer.do?admit=109447626+1249534744623+28353475&threadId=698232 कुछ विचार हैं

— LarryK
स्रोत

1

कृपया इसे कक्षा से बाहर कर दें। i.stack.imgur.com/cFSC5.png

— जैकब

9

आपको OSSEC जैसे लॉग मॉनीटरिंग के लिए एक सॉल्यूशन का उपयोग करना चाहिए , यह सुरक्षा जानकारी (लॉगिन, sudo, आदि सहित) के लिए आपके लॉग को देखेगा और अलर्ट के महत्वपूर्ण होने पर आपको एक ई-मेल भेजेगा।

इसे कॉन्फ़िगर करना आसान है और आप ई-मेल के लिए अलर्ट स्तर बढ़ा सकते हैं या alert-by-emailविशिष्ट अलर्ट पर शामिल कर सकते हैं ।

यह कॉन्फ़िगर करने योग्य सक्रिय-प्रतिक्रिया, आईपी को अवरुद्ध करने और डिफ़ॉल्ट रूप से कुछ समय के लिए उपयोग से इनकार कर सकता है।

— chmeee
स्रोत

4

यदि एक से अधिक टर्मिनलों में रूट लॉग होता है तो एडम्स सॉल्यूशन का थोड़ा परिवर्तन जो टूटता नहीं है:

login_info="$(who | head -n1 | cut -d'(' -f2 | cut -d')' -f1)"
message="$(
printf "ALERT - Root Shell Access (%s) on:\n" "$(hostname)"
date
echo
who
)"
mail -s "Alert: Root Access from ${login_info}" admin <<< "${message}"

— alexh
स्रोत

4

आप इसे अपने .bashrc में डाल सकते हैं

echo 'ALERT - Root Shell Access to' $(hostname) 'on:' `date` `who` \
| mail -s "Alert: Root Access from `who | cut -d"(" -f2 | cut -d")" -f1`" YOUREMAIL

— एडम
स्रोत

2

आप उपयुक्त स्क्रिप्ट को जोड़ सकते हैं, या स्क्रिप्ट को / etc / प्रोफाइल से कॉल कर सकते हैं।

— जॉन गार्डनियर्स
स्रोत

2

हालांकि यह जान लें कि यदि आपकी मशीन हैक हो गई है तो यह हैकर के लिए एक तुच्छ कार्य हो सकता है - यह मानते हुए कि यह एक स्क्रिप्ट किडी नहीं है जिसके बारे में हम बात कर रहे हैं - ईमेल अलर्ट फ़ंक्शन को अक्षम करने के लिए।

— मैक्सिमस मिनिमस
स्रोत

4

हां, इसीलिए मैं चाहता हूं कि जैसे ही कोई लॉग इन करे, वैसे ही ईमेल भेजा जाए। - सर्वर को कई लॉगइन नहीं मिलते। मुझे लगता है कि इस तरह से यह किसी को अपने शुरुआती ब्रेकिन के बारे में ईमेल को रोकने में सक्षम होने की संभावना को कम कर देगा (यदि एक लॉगिन शेल के माध्यम से)।

— लारिएक

2

यह आलेख बताता है कि PAM का उपयोग करके SSH लॉगिन पर ईमेल कैसे भेजें ।

— पॉल
स्रोत

2

मैंने गितुब गिस्ट पर एक बैश स्क्रिप्ट प्रकाशित की जो आपको दिख रही है। यह सिस्टम प्रशासक को किसी भी समय एक उपयोगकर्ता को नए आईपी पते से लॉग इन करेगा। मैं हमारे कसकर नियंत्रित उत्पादन प्रणालियों पर लॉगिन की जांच करने वाली स्क्रिप्ट का उपयोग करता हूं। यदि किसी लॉगिन से छेड़छाड़ की जाती है, तो हमें असामान्य लॉगिन स्थान के बारे में सूचित किया जाएगा और गंभीर क्षति होने से पहले उन्हें सिस्टम से बाहर करने का मौका मिलेगा।

स्क्रिप्ट स्थापित करने के लिए, बस इसे अपने sysadmin ईमेल से अपडेट करें, और इसे कॉपी करें /etc/profile.d/।

— इलियट बी।
स्रोत

कृपया अपने स्वयं के उत्तरों को कॉपी-पेस्ट न करने का प्रयास करें । यदि आपको लगता है कि प्रश्न अनिवार्य रूप से समान हैं और एक ही समाधान दोनों पसंदीदा पद्धति पर लागू होता है, तो एक प्रश्न को दूसरे के डुप्लिकेट के रूप में चिह्नित करना है ।

— HBruijn

@Hruijn मैंने उस दृष्टिकोण पर विचार किया। हालाँकि, इस मामले में, दो प्रश्न समान हैं, लेकिन डुप्लिकेट नहीं - फिर भी एक ही उत्तर अभी भी दोनों पर लागू होता है।

— इलियट बी।