当有人登录时发送电子邮件

tag-icon tag-icon linux security log-files login
当有人登录时发送电子邮件

我的 CentOS/RHEL 系统可能被黑客入侵了,我不确定。但我从头开始创建一个新的切片,以保证安全。

我已经安装了 tripwire,但我还想在有人登录时收到电子邮件。我不想等待每日日志监视报告,我希望在有人登录时立即收到电子邮件。最好还包含他们的 IP 地址。

有什么建议吗?

如同在日志文件条目时发送电子邮件警报?但也许有人有针对这个特定问题的技术。

谢谢,

拉里

添加:http://forums11.itrc.hp.com/service/forums/questionanswer.do?admit=109447626+1249534744623+28353475&threadId=698232有一些想法

答案1

您应该使用类似的日志监控解决方案操作系统安全评估中心,它会在你的日志中查找安全信息(包括登录、sudo 等),并在警报重要时向你发送电子邮件。

它很容易配置,您可以提高电子邮件的警报级别或alert-by-email在特定警报中包含警报。

它还可以进行可配置的主动响应,默认阻止 IP 并在一段时间内拒绝访问。

答案2

对亚当斯解决方案稍作修改,如果 root 登录到多个终端,则不会中断:

login_info="$(who | head -n1 | cut -d'(' -f2 | cut -d')' -f1)"
message="$(
printf "ALERT - Root Shell Access (%s) on:\n" "$(hostname)"
date
echo
who
)"
mail -s "Alert: Root Access from ${login_info}" admin <<< "${message}"

答案3

你可以把它放在你的 .bashrc 中

echo 'ALERT - Root Shell Access to' $(hostname) 'on:' `date` `who` \
| mail -s "Alert: Root Access from `who | cut -d"(" -f2 | cut -d")" -f1`" YOUREMAIL

答案4

但请注意,如果您的机器已被黑客入侵,那么对于黑客来说,禁用电子邮件警报功能可能是一项小任务 - 假设我们谈论的不是脚本小子。

相关内容