Hogyan kaphat root és felhasználói SSH bejelentkezési e-mail figyelmeztetéseket
Amikor éles környezetben Linux-szervereket telepítünk, konfigurálunk és biztonságossá teszünk, nagyon fontos nyomon követni, hogy mi történik a szerverekkel, és hogy ki jelentkezik be a szerverre, ami a szerver biztonságát illeti.
Miért, mert ha valaki root felhasználóként jelentkezett be a szerverre brute force taktikával az SSH felett, akkor gondolja át, hogyan fogja tönkretenni a szerverét. Bármely felhasználó, aki root hozzáférést kap, azt tehet, amit akar. Az ilyen SSH-támadások blokkolásához olvassa el a következő cikkeinket, amelyek leírják, hogyan védheti meg a szervereket az ilyen támadásoktól.
- Az SSH-kiszolgáló brute Force támadásainak blokkolása DenyHosts használatával
- Használja a Pam_Tally2-t a sikertelen SSH-bejelentkezések zárolásához és feloldásához
- 5 bevált módszer az SSH-kiszolgáló biztonságossá tételéhez és védelméhez
Tehát nem jó gyakorlat a közvetlen root bejelentkezés engedélyezése SSH munkameneten keresztül, és javasoljuk nem root fiókok létrehozását a sudo segítségével. hozzáférést. Amikor root hozzáférésre van szükség, először jelentkezzen be normál felhasználóként, majd a su használatával váltson át root felhasználóra. A közvetlen SSH root bejelentkezések letiltásához kövesse az alábbi cikkünket, amely bemutatja, hogyan tilthatja le és korlátozhatja a root bejelentkezést az SSH-ban.
- Tiltsa le az SSH root bejelentkezést és korlátozza az SSH hozzáférést
Ez az útmutató azonban egy egyszerű módszert mutat be annak megállapítására, hogy ha valaki rootként vagy normál felhasználóként jelentkezett be, e-mail-értesítést kell küldenie a megadott e-mail címre az IP-cím mellett. utolsó bejelentkezéskor. Tehát, ha ismeri az ismeretlen felhasználó által végrehajtott utolsó bejelentkezés IP-címét, letilthatja az adott IP-cím SSH-bejelentkezését az iptables tűzfalon.
- Port blokkolása az Iptables tűzfalban
Az SSH bejelentkezési e-mail figyelmeztetések beállítása a Linux szerveren
Ennek az oktatóanyagnak a végrehajtásához root szintű hozzáféréssel kell rendelkeznie a kiszolgálón, valamint ismernie kell egy kis nano vagy vi szerkesztőt, valamint mailx (Mail Client), amely telepítve van a szerverre az e-mailek küldéséhez. a disztribúciótól függően telepítheti a mailx klienst a következő parancsok egyikével.
Debian/Ubuntu/Linux Mint rendszeren
apt-get install mailxRHEL/CentOS/Fedora rendszeren
yum install mailxSSH root bejelentkezési e-mail figyelmeztetések beállítása
Most jelentkezzen be root felhasználóként, és lépjen a root kezdőkönyvtárába a cd /root parancs beírásával.
cd /rootEzután adjon hozzá egy bejegyzést a .bashrc fájlhoz. Ez a fájl helyi környezeti változókat állít be a felhasználók számára, és néhány bejelentkezési feladatot végez. Például itt beállítunk egy e-mailes bejelentkezési figyelmeztetést.
Nyissa meg a .bashrc fájlt a vi vagy a nano szerkesztővel. Ne feledje, hogy a .bashrc egy rejtett fájl, az ls -l parancsot nem fogja látni. A rejtett fájlok megtekintéséhez Linuxon a -a kapcsolót kell használnia.
vi .bashrcAdja hozzá a következő teljes sort a fájl aljához. Ügyeljen arra, hogy a „ServerName” elemet cserélje ki a szervere hostnévére, és módosítsa az „[email ” elemet az Ön e-mail címére.
echo 'ALERT - Root Shell Access (ServerName) on:' `date` `who` | mail -s "Alert: Root Access from `who | cut -d'(' -f2 | cut -d')' -f1`" [email Mentse és zárja be a fájlt, majd jelentkezzen ki, majd jelentkezzen be újra. Miután bejelentkezett SSH-n keresztül, alapértelmezés szerint egy .bashrc fájl fut le, és elküldi a gyökér bejelentkezési figyelmeztetés e-mail címét.
Minta e-mail figyelmeztetés
ALERT - Root Shell Access (Database Replica) on: Thu Nov 28 16:59:40 IST 2013 tecmint pts/0 2013-11-28 16:59 (172.16.25.125)Állítsa be az SSH normál felhasználói bejelentkezési e-mail értesítéseit
Jelentkezzen be normál felhasználóként (tecmint), és lépjen a felhasználó kezdőkönyvtárába a cd /home/tecmint/ parancs beírásával.
cd /home/tecmintEzután nyissa meg a .bashrc fájlt, és adja hozzá a következő sort a fájl végéhez. Ügyeljen arra, hogy az értékeket a fentiek szerint cserélje ki.
echo 'ALERT - Root Shell Access (ServerName) on:' `date` `who` | mail -s "Alert: Root Access from `who | cut -d'(' -f2 | cut -d')' -f1`" [email Mentse és zárja be a fájlt, majd jelentkezzen ki, majd jelentkezzen be újra. Miután újra bejelentkezik, egy .bashrc fájl fut le, és elküldi Önnek a felhasználói bejelentkezési figyelmeztetés e-mail címét.
Így bármelyik felhasználóhoz beállíthat egy e-mailes figyelmeztetést, hogy bejelentkezési figyelmeztetést kapjon. Csak nyissa meg a felhasználó .bashrc fájlját, amelynek a felhasználó kezdőkönyvtárában kell lennie (azaz /home/username/.bashrc), és állítsa be a bejelentkezési figyelmeztetéseket a fent leírtak szerint.