我的 CentOS/RHEL 系统可能被黑客入侵了,我不确定。但我从头开始创建一个新的切片,以保证安全。
我已经安装了 tripwire,但我还想在有人登录时收到电子邮件。我不想等待每日日志监视报告,我希望在有人登录时立即收到电子邮件。最好还包含他们的 IP 地址。
有什么建议吗?
如同在日志文件条目时发送电子邮件警报?但也许有人有针对这个特定问题的技术。
谢谢,
拉里
答案1
您应该使用类似的日志监控解决方案操作系统安全评估中心,它会在你的日志中查找安全信息(包括登录、sudo 等),并在警报重要时向你发送电子邮件。
它很容易配置,您可以提高电子邮件的警报级别或alert-by-email
在特定警报中包含警报。
它还可以进行可配置的主动响应,默认阻止 IP 并在一段时间内拒绝访问。
答案2
对亚当斯解决方案稍作修改,如果 root 登录到多个终端,则不会中断:
login_info="$(who | head -n1 | cut -d'(' -f2 | cut -d')' -f1)"
message="$(
printf "ALERT - Root Shell Access (%s) on:\n" "$(hostname)"
date
echo
who
)"
mail -s "Alert: Root Access from ${login_info}" admin <<< "${message}"
答案3
你可以把它放在你的 .bashrc 中
echo 'ALERT - Root Shell Access to' $(hostname) 'on:' `date` `who` \
| mail -s "Alert: Root Access from `who | cut -d"(" -f2 | cut -d")" -f1`" YOUREMAIL
答案4
但请注意,如果您的机器已被黑客入侵,那么对于黑客来说,禁用电子邮件警报功能可能是一项小任务 - 假设我们谈论的不是脚本小子。