任何人登录时发送电子邮件

我不确定我的CentOS / RHEL系统是否已被黑客入侵。但是我通过从头开始创建一个新的切片来保证它的安全。

我已经安装了tripwire，但也希望在有人登录时通过电子邮件发送。我不想等待每日的日志报告，我希望在有人登录时立即发送电子邮件。最好也提供他们的IP地址。

有什么建议吗？

类似于在日志文件输入时发送电子邮件警报？但也许有人对这个特定问题有技巧。

谢谢，

拉里

新增：http : //forums11.itrc.hp.com/service/forums/questionanswer.do?admit=109447626+1249534744623+28353475&threadId=698232有一些想法

您应该使用像OSSEC这样的日志监视软件，它会在日志中查找安全信息（包括登录名，sudo等），并在警报很重要时向您发送电子邮件。

它很容易配置，您可以提高电子邮件的警报级别，也可以alert-by-email在特定警报中包含一个。

默认情况下，它也可以执行可配置的活动响应，阻止IP并拒绝访问一段时间。

adams解决方案的细微更改，如果root登录到多个终端中，则不会中断：

login_info="$(who | head -n1 | cut -d'(' -f2 | cut -d')' -f1)"
message="$(
printf "ALERT - Root Shell Access (%s) on:\n" "$(hostname)"
date
echo
who
)"
mail -s "Alert: Root Access from ${login_info}" admin <<< "${message}"

你可以把它放在你的.bashrc中

echo 'ALERT - Root Shell Access to' $(hostname) 'on:' `date` `who` \
| mail -s "Alert: Root Access from `who | cut -d"(" -f2 | cut -d")" -f1`" YOUREMAIL

您可以在/ etc / profile中添加适当的命令或从中调用脚本。

请注意，如果您的计算机遭到黑客攻击，那么对于黑客来说，这可能是一项微不足道的任务-假设它不是我们正在谈论的脚本小子-禁用电子邮件警报功能。

本文介绍如何使用PAM通过SSH登录发送电子邮件。

我在Github Gist上发布了一个bash脚本，它可以满足您的需求。每当用户从新IP地址登录时，它将向系统管理员发送电子邮件。我使用脚本在严格控制的生产系统上仔细检查登录名。如果登录遭到破坏，我们会收到有关异常登录位置的通知，并有机会在造成严重损害之前将其锁定在系统之外。

要安装脚本，只需使用您的sysadmin电子邮件对其进行更新，然后将其复制到中/etc/profile.d/。