我的CentOS / RHEL系统可能已被黑客入侵,我不确定。 但是我从头开始创build一个新的切片,以确保安全。
我已经安装tripwire,但我也想在任何人login时通过电子邮件发送。我不想等待每天的logwatch报告,我想在任何人login时立即发送电子邮件,最好使用他们的ip地址。
build议?
与在日志文件条目上发送电子邮件警报类似? 但也许有人有这个具体问题的技术。
谢谢,
拉里
补充: http : //forums11.itrc.hp.com/service/forums/questionanswer.do?admit=109447626+1249534744623+28353475&threadId=698232有一些想法
您应该使用一个解决scheme来进行日志监控,例如OSSEC ,它会查看日志中的安全信息(包括login,sudo等),并在警报很重要时向您发送电子邮件。
configuration起来很简单,您可以提高电子邮件的警报级别,或者在特定的警报中包含alert-by-email警报。
它也可以configuration主动响应,阻止IP和默认情况下拒绝访问一段时间。
你可以把它放在你的.bashrc中
echo 'ALERT - Root Shell Access ($HOSTNAME) on:' `date` `who` | mail -s "Alert: Root Access from `who | cut -d"(" -f2 | cut -d")" -f1`" YOUREMAIL
adams解决scheme略有变化,如果rootlogin到多个terminal,它不会中断:
login_info="$(who | head -n1 | cut -d'(' -f2 | cut -d')' -f1)" message="$( printf "ALERT - Root Shell Access (%s) on:\n" "$(hostname)" date echo who )" mail -s "Alert: Root Access from ${login_info}" admin <<< "${message}"
您可以将相应的命令添加到/ etc / profile中,或者从/ etc / profile中调用脚本。
但请注意,如果您的计算机遭到黑客入侵,那么对于黑客来说,这可能是一项微不足道的任务 – 假设这不是我们正在讨论的脚本小孩 – 要禁用电子邮件提醒function。
本文介绍如何使用PAM在SSHlogin上发送电子邮件 。