Linux

當有人登錄時發送電子郵件

  • October 2, 2019

我的 CentOS/RHEL 系統可能被黑了,我不確定。但是我通過從頭開始創建一個新切片來確保安全。

我已經安裝了tripwire,但我也想在任何人登錄時收到電子郵件。我不想等待每日logwatch報告,我希望在任何人登錄時立即收到電子郵件。最好也有他們的IP地址。

建議?

類似於在日誌文件條目上發送電子郵件警報?但也許有人有解決這個特定問題的技術。

謝謝,

拉里

補充: http://forums11.itrc.hp.com/service/forums/questionanswer.do?admit=109447626+1249534744623+28353475&threadId= 698232有一些想法

您應該使用OSSEC之類的日誌監控解決方案,它會在您的日誌中查找安全資訊(包括登錄、sudo 等),並在警報很重要時向您發送電子郵件。

它易於配置,您可以提高電子郵件的警報級別或alert-by-email在特定警報中包含一個。

它還可以在預設情況下進行可配置的主動響應、阻止 IP 和拒絕訪問一段時間。

如果 root 登錄到多個終端,adams 解決方案的細微變化不會中斷:

login_info="$(who | head -n1 | cut -d'(' -f2 | cut -d')' -f1)"
message="$(
printf "ALERT - Root Shell Access (%s) on:\n" "$(hostname)"
date
echo
who
)"
mail -s "Alert: Root Access from ${login_info}" admin <<< "${message}"

引用自:https://serverfault.com/questions/50761