Sådan får du rod- og bruger-SSH-login-e-mail-alarmer

Hver gang vi installerer, konfigurerer og beskytter Linux-servere i produktionsmiljø, er det meget vigtigt at holde styr på, hvad der sker med serverne, og hvem der logger ind på serveren, hvad angår serverens sikkerhed.

Hvorfor, for hvis nogen logget ind på serveren som rootbruger ved hjælp af brute force-taktik over SSH, så tænk på, hvordan han vil ødelægge din server. Enhver bruger, der får rootadgang, kan gøre hvad han vil. For at blokere sådanne SSH-angreb skal du læse vores følgende artikler, der beskriver, hvordan du beskytter servere mod sådanne angreb.

  1. Bloker SSH-serverens brutale kraftangreb ved hjælp af DenyHosts
  2. Brug Pam_Tally2 til at låse og låse op for SSH mislykkede login
  3. 5 bedste fremgangsmåder til sikring og beskyttelse af SSH-server

Så det er ikke en god praksis at tillade direkte root-login via SSH-session og anbefale at oprette ikke-root-konti med sudo-adgang. Når rootadgang er nødvendig, skal du først logge ind som normal bruger og derefter bruge su til at skifte til rootbruger. For at deaktivere direkte SSH-rodlogins skal du følge nedenstående artikel, der viser, hvordan du deaktiverer og begrænser root-login i SSH.

  1. Deaktiver SSH-rodlogin og begræns SSH-adgang

Denne vejledning viser dog en enkel måde at vide, hvornår nogen er logget ind som root eller normal bruger, den skal sende en e-mail-underretning til den angivne e-mail-adresse sammen med IP-adressen til det sidste login. Så når du kender IP-adressen til det sidste login fra en ukendt bruger, kan du blokere SSH-login for en bestemt IP-adresse på iptables Firewall.

  1. Sådan blokeres port i Iptables Firewall

Sådan indstilles SSH-login-e-mail-alarmer i Linux Server

For at udføre denne vejledning skal du have adgang til rodniveau på serveren og lidt kendskab til nano eller vi editor og også mailx (Mail Client) installeret på serveren for at sende e-mails. afhængigt af din distribution kan du installere mailx-klienten ved hjælp af en af følgende kommandoer.

# apt-get install mailx
# yum install mailx

Log nu ind som rodbruger, og gå til rodens hjemmekatalog ved at skrive cd/root-kommando.

# cd /root

Dernæst tilføj en post til .bashrc-filen. Denne fil indstiller lokale miljøvariabler til brugerne og udfører nogle loginopgaver. For eksempel indstiller vi her en e-mail-login alarm.

Åbn .bashrc-fil med vi eller nano-editor. Husk venligst .bashrc er en skjult fil, du kan ikke se den ved at udføre kommandoen ls -l. Du skal bruge et flag for at se skjulte filer i Linux.

# vi .bashrc

Tilføj følgende hele linje i bunden af filen. Sørg for at udskifte “Servernavn” med et værtsnavn på din server og ændre “[e-mailbeskyttet]” med en din e-mail-adresse.

echo 'ALERT - Root Shell Access (ServerName) on:' `date` `who` | mail -s "Alert: Root Access from `who | cut -d'(' -f2 | cut -d')' -f1`" [email 

Gem og luk filen og log af og log ind igen. Når du logger ind via SSH, udføres en .bashrc-fil som standard og sender dig en e-mail-adresse til rodindlogningsalarmen.

ALERT - Root Shell Access (Database Replica) on: Thu Nov 28 16:59:40 IST 2013 tecmint pts/0 2013-11-28 16:59 (172.16.25.125)

Log ind som normal bruger (tecmint), og gå til brugerens hjemmekatalog ved at skrive cd/home/tecmint/command.

# cd /home/tecmint

Åbn derefter .bashrc-filen, og tilføj følgende linje i slutningen af filen. Sørg for at udskifte værdier som vist ovenfor.

echo 'ALERT - Root Shell Access (ServerName) on:' `date` `who` | mail -s "Alert: Root Access from `who | cut -d'(' -f2 | cut -d')' -f1`" [email 

Gem og luk filen, log ud og log ind igen. Når du logger ind igen, udføres en .bashrc-fil og sender dig en e-mail-adresse på brugerlogin-alarmen.

På denne måde kan du indstille en e-mail-alarm for enhver bruger til at modtage loginadvarsler. Åbn bare brugerens .bashrc-fil, som skal findes under brugerens hjemmekatalog (dvs. /home/username/.bashrc), og indstil loginalarmerne som beskrevet ovenfor.