Linux
當有人登錄時發送電子郵件
我的 CentOS/RHEL 系統可能被黑了,我不確定。但是我通過從頭開始創建一個新切片來確保安全。
我已經安裝了tripwire,但我也想在任何人登錄時收到電子郵件。我不想等待每日logwatch報告,我希望在任何人登錄時立即收到電子郵件。最好也有他們的IP地址。
建議?
類似於在日誌文件條目上發送電子郵件警報?但也許有人有解決這個特定問題的技術。
謝謝,
拉里
補充: http://forums11.itrc.hp.com/service/forums/questionanswer.do?admit=109447626+1249534744623+28353475&threadId= 698232有一些想法
您應該使用OSSEC之類的日誌監控解決方案,它會在您的日誌中查找安全資訊(包括登錄、sudo 等),並在警報很重要時向您發送電子郵件。
它易於配置,您可以提高電子郵件的警報級別或
alert-by-email
在特定警報中包含一個。它還可以在預設情況下進行可配置的主動響應、阻止 IP 和拒絕訪問一段時間。
如果 root 登錄到多個終端,adams 解決方案的細微變化不會中斷:
login_info="$(who | head -n1 | cut -d'(' -f2 | cut -d')' -f1)" message="$( printf "ALERT - Root Shell Access (%s) on:\n" "$(hostname)" date echo who )" mail -s "Alert: Root Access from ${login_info}" admin <<< "${message}"