Invia e-mail quando qualcuno accede

Il mio sistema CentOS / RHEL potrebbe essere stato hackato, non sono sicuro. Ma sto giocando al sicuro creando una nuova fetta da zero.

Ho installato il tripwire, ma mi piacerebbe anche essere inviato via email quando qualcuno entra. Non voglio aspettare il rapporto giornaliero di logwatch, voglio un'email immediata quando qualcuno accede. Preferibilmente con il loro indirizzo IP troppo.

  • Comando rm-rf involontario sul server
  • Come filtrare i processi di sistema predefiniti con ps?
  • Configurazione di sudo per funzionare senza password
  • E3-1240 v5 cpufreq-info dice: "Nessun o sconosciuto driver cpufreq è attivo su questa CPU"
  • È ansible configurare cron (su linux) per leggere un utente crontab da un file controllato in un'applicazione?
  • Alta frequenza di interrupt di sistema
  • Suggerimenti?

    Simile a Invia avviso e-mail sulla logging del file di registro? ma forse qualcuno ha una tecnica per questo problema specifico.

    Grazie,

    Larry

    Aggiunto: http://forums11.itrc.hp.com/service/forums/questionanswer.do?admit=109447626+1249534744623+28353475&threadId=698232 ha alcune idee

  • Differenza di memory allocata negli ospiti xen con Linux 2.6.18 e 2.6.32
  • Raid 1 semplifica per accelerare le installazioni identiche
  • Come disabilitare la modalità passiva nel command ftp linux
  • caratteristiche ossec vs snort / tripwire per la conformità pci
  • PERC 6 / i RAID su Dell R710: disco lento ... RAID10 su singolo controller?
  • ip path statico, apportre le modifiche permanenti / persistenti al riavvio
  • 6 Solutions collect form web for “Invia e-mail quando qualcuno accede”

    Dovresti usare una soluzione per il monitoraggio del registro come OSSEC , guarderà nei tuoi registri informazioni di sicurezza (tra cui login, sudo, ecc.) E ti invierà una e-mail quando l'avviso è importnte.

    È facile da configurare e puoi aumentare il livello di segnalazione per le e-mail o includere un alert-by-email sull'avviso specifico.

    Può anche eseguire una risposta triggers configurabile, bloccando gli IP e negando l'accesso per un periodo di tempo per impostazione predefinita.

    potresti metterlo nel tuo .bashrc

     echo 'ALERT - Root Shell Access ($HOSTNAME) on:' `date` `who` | mail -s "Alert: Root Access from `who | cut -d"(" -f2 | cut -d")" -f1`" YOUREMAIL 

    Modifica leggera della soluzione adams che non interrompe se la radice viene registrata in più di un terminal:

     login_info="$(who | head -n1 | cut -d'(' -f2 | cut -d')' -f1)" message="$( printf "ALERT - Root Shell Access (%s) on:\n" "$(hostname)" date echo who )" mail -s "Alert: Root Access from ${login_info}" admin <<< "${message}" 

    È ansible aggiungere il command appropriato o call uno script da / etc / profile.

    Sappiate però che se la tua macchina è stata attaccata, potrebbe essere un'operazione banale per l'hacker – supponendo che non sia un kiddie di script che stiamo parlando – distriggersre la function di avviso di posta elettronica.

    In questo articolo si descrive come submit email sul login SSH utilizzando PAM .

    Suggerimenti per Linux e Windows Server, quali Ubuntu, Centos, Apache, Nginx, Debian e argomenti di rete.