Invia e-mail quando qualcuno accede

Il mio sistema CentOS / RHEL potrebbe essere stato hackato, non sono sicuro. Ma sto giocando al sicuro creando una nuova fetta da zero.

Ho installato il tripwire, ma mi piacerebbe anche essere inviato via email quando qualcuno entra. Non voglio aspettare il rapporto giornaliero di logwatch, voglio un'email immediata quando qualcuno accede. Preferibilmente con il loro indirizzo IP troppo.

Suggerimenti?

Simile a Invia avviso e-mail sulla logging del file di registro? ma forse qualcuno ha una tecnica per questo problema specifico.

Grazie,

Larry

Aggiunto: http://forums11.itrc.hp.com/service/forums/questionanswer.do?admit=109447626+1249534744623+28353475&threadId=698232 ha alcune idee

  • Firmware eseguibili sotto Linux (o altri OS)
  • Come assicurarsi che il PC Windows sia ragionevolmente sicuro?
  • Attacco sul mio server web - Cosa significa questo?
  • Apache: differenza di sicurezza tra la cartella in radice web e alias?
  • AIUTO! DB di produzione è stato SQL INJECTED!
  • Come visualizzare i registri delle attività su un computer Linux?
  • Dovremmo distriggersre l'utente root?
  • Come prevenire / rilevare gli attacchi di radicamento di veleno ARP?
  • 6 Solutions collect form web for “Invia e-mail quando qualcuno accede”

    Dovresti usare una soluzione per il monitoraggio del registro come OSSEC , guarderà nei tuoi registri informazioni di sicurezza (tra cui login, sudo, ecc.) E ti invierà una e-mail quando l'avviso è importnte.

    È facile da configurare e puoi aumentare il livello di segnalazione per le e-mail o includere un alert-by-email sull'avviso specifico.

    Può anche eseguire una risposta triggers configurabile, bloccando gli IP e negando l'accesso per un periodo di tempo per impostazione predefinita.

    potresti metterlo nel tuo .bashrc

     echo 'ALERT - Root Shell Access ($HOSTNAME) on:' `date` `who` | mail -s "Alert: Root Access from `who | cut -d"(" -f2 | cut -d")" -f1`" YOUREMAIL 

    Modifica leggera della soluzione adams che non interrompe se la radice viene registrata in più di un terminal:

     login_info="$(who | head -n1 | cut -d'(' -f2 | cut -d')' -f1)" message="$( printf "ALERT - Root Shell Access (%s) on:\n" "$(hostname)" date echo who )" mail -s "Alert: Root Access from ${login_info}" admin <<< "${message}" 

    È ansible aggiungere il command appropriato o call uno script da / etc / profile.

    Sappiate però che se la tua macchina è stata attaccata, potrebbe essere un'operazione banale per l'hacker – supponendo che non sia un kiddie di script che stiamo parlando – distriggersre la function di avviso di posta elettronica.

    In questo articolo si descrive come submit email sul login SSH utilizzando PAM .

    Suggerimenti per Linux e Windows Server, quali Ubuntu, Centos, Apache, Nginx, Debian e argomenti di rete.