Отправить письмо, когда кто-нибудь входит

Моя система CentOS / RHEL, возможно, была взломана, я не уверен. Но я играю безопасно, создавая новый фрагмент с нуля.

Я установил tripwire, но я также хотел бы, чтобы по электронной почте, когда кто-то входит в систему. Я не хочу ждать ежедневного отчета о журнале, я хочу получать немедленное электронное письмо, когда кто-либо входит в систему. Желательно также с их IP-адресом.

Предложения?

Похоже на отправку оповещения по электронной почте при записи файла журнала? но, возможно, у кого-то есть методика для этой конкретной проблемы.

Спасибо,

Larry

Добавлено: http://forums11.itrc.hp.com/service/forums/questionanswer.do?admit=109447626+1249534744623+28353475&threadId=698232 имеет несколько идей

Вы должны использовать решение для мониторинга журналов, такое как OSSEC , оно будет искать в ваших журналах информацию о безопасности (включая логин, sudo и т. Д.) И отправлять вам электронную почту, когда предупреждение важно.

Его легко настроить, и вы можете повысить уровень оповещения для электронной почты или включить alert-by-emailв конкретное оповещение.

Он также может настраивать активный ответ, блокируя IP-адреса и по умолчанию отказывая в доступе.

Небольшое изменение решения adams, которое не ломается, если root авторизован в нескольких терминалах:

login_info="$(who | head -n1 | cut -d'(' -f2 | cut -d')' -f1)"
message="$(
printf "ALERT - Root Shell Access (%s) on:\n" "$(hostname)"
date
echo
who
)"
mail -s "Alert: Root Access from ${login_info}" admin <<< "${message}"

Вы можете поместить это в свой .bashrc

echo 'ALERT - Root Shell Access to' $(hostname) 'on:' `date` `who` \
| mail -s "Alert: Root Access from `who | cut -d"(" -f2 | cut -d")" -f1`" YOUREMAIL

Вы можете добавить соответствующую команду или вызвать скрипт из / etc / profile.

Имейте в виду, однако, что если ваш компьютер был взломан, для хакера это может быть тривиальной задачей - если предположить, что это не сценарий, о котором мы говорим - отключить функцию оповещения по электронной почте.

В этой статье описывается, как отправить электронную почту при входе через SSH с использованием PAM .

Я опубликовал скрипт на Github Gist, который делает то, что вы ищете. Он отправит электронное письмо системному администратору при каждом входе пользователя с нового IP-адреса. Я использую скрипт для тщательного изучения логинов в наших строго контролируемых производственных системах. Если вход в систему будет скомпрометирован, мы получим уведомление о необычном месте входа в систему и сможем заблокировать их в системе, прежде чем они нанесут серьезный ущерб.

Чтобы установить скрипт, просто обновите его электронной почтой sysadmin и скопируйте в /etc/profile.d/.