Com obtenir alertes per correu electrònic d'inici de sessió SSH d'usuari i arrel


Sempre que instal·lem, configurem i protegim servidors Linux en un entorn de producció, és molt important fer un seguiment del que passa amb els servidors i de qui inicia sessió al servidor pel que fa a la seguretat del servidor.

Per què, perquè si algú va iniciar sessió al servidor com a usuari root utilitzant tàctiques de força bruta a través de SSH, penseu en com destruirà el vostre servidor. Qualsevol usuari que tingui accés root pot fer el que vulgui. Per bloquejar aquests atacs SSH, llegiu els nostres articles següents que descriuen com protegir els servidors d'aquests atacs.

  1. Bloqueja els atacs de força bruta del servidor SSH mitjançant DenyHosts
  2. Utilitzeu Pam_Tally2 per bloquejar i desbloquejar els inicis de sessió fallits de SSH
  3. 5 millors pràctiques per protegir i protegir el servidor SSH

Per tant, no és una bona pràctica permetre l'inici de sessió d'arrel directe mitjançant la sessió SSH i recomanar crear comptes no root amb accés sudo. Sempre que calgui l'accés root, primer inicieu sessió com a usuari normal i després feu servir su per canviar a l'usuari root. Per desactivar els inicis de sessió arrel SSH directes, seguiu el nostre article següent que mostra com desactivar i limitar l'inici de sessió arrel a SSH.

  1. Desactiva l'inici de sessió arrel SSH i limita l'accés SSH

Tanmateix, aquesta guia mostra una manera senzilla de saber quan algú ha iniciat sessió com a usuari root o normal ha d'enviar una notificació d'alerta per correu electrònic a l'adreça de correu electrònic especificada juntament amb l'adreça IP del darrer inici de sessió. Per tant, un cop conegueu l'adreça IP de l'últim inici de sessió fet per un usuari desconegut, podeu bloquejar l'inici de sessió SSH d'una adreça IP concreta al tallafocs d'iptables.

  1. Com bloquejar el port al tallafocs d'Iptables

Com configurar les alertes de correu electrònic d'inici de sessió SSH al servidor Linux

Per dur a terme aquest tutorial, cal tenir un accés a nivell root al servidor i uns pocs coneixements d'editor nano o vi i també mailx (client de correu) instal·lat al servidor per enviar els correus electrònics. depenent de la vostra distribució, podeu instal·lar el client mailx mitjançant una de les ordres següents.

# apt-get install mailx
# yum install mailx

Ara inicieu sessió com a usuari root i aneu al directori d'inici de l'arrel escrivint l'ordre cd /root.

# cd /root

A continuació, afegiu una entrada al fitxer .bashrc. Aquest fitxer estableix variables d'entorn local als usuaris i fa algunes tasques d'inici de sessió. Per exemple, aquí configurem una alerta d'inici de sessió per correu electrònic.

Obriu el fitxer .bashrc amb l'editor vi o nano. Recordeu que .bashrc és un fitxer ocult, no el veureu fent l'ordre ls -l. Heu d'utilitzar -a marca per veure fitxers ocults a Linux.

# vi .bashrc

Afegiu la següent línia sencera a la part inferior del fitxer. Assegureu-vos de substituir \ServerName per un nom d'amfitrió del vostre servidor i canvieu \[email  per la vostra adreça electrònica.

echo 'ALERT - Root Shell Access (ServerName) on:' `date` `who` | mail -s "Alert: Root Access from `who | cut -d'(' -f2 | cut -d')' -f1`" [email 

Deseu i tanqueu el fitxer i tanqueu la sessió i torneu a iniciar sessió. Un cop inicieu la sessió mitjançant SSH, s'executarà per defecte un fitxer .bashrc i us enviarà una adreça de correu electrònic de l'alerta d'inici de sessió root.

ALERT - Root Shell Access (Database Replica) on: Thu Nov 28 16:59:40 IST 2013 tecmint pts/0 2013-11-28 16:59 (172.16.25.125)

Inicieu sessió com a usuari normal (tecmint) i aneu al directori inicial de l'usuari escrivint l'ordre cd /home/tecmint/.

# cd /home/tecmint

A continuació, obriu el fitxer .bashrc i afegiu la línia següent al final del fitxer. Assegureu-vos de substituir els valors tal com es mostra a dalt.

echo 'ALERT - Root Shell Access (ServerName) on:' `date` `who` | mail -s "Alert: Root Access from `who | cut -d'(' -f2 | cut -d')' -f1`" [email 

Deseu i tanqueu el fitxer i tanqueu la sessió i torneu a iniciar sessió. Un cop torneu a iniciar sessió, s'executa un fitxer .bashrc i us envia una adreça de correu electrònic de l'alerta d'inici de sessió de l'usuari.

D'aquesta manera, podeu configurar una alerta per correu electrònic a qualsevol usuari per rebre alertes d'inici de sessió. Només cal que obriu el fitxer .bashrc de l'usuari que s'hauria d'ubicar al directori d'inici de l'usuari (és a dir, /home/username/.bashrc) i configureu les alertes d'inici de sessió tal com es descriu anteriorment.