Jak uzyskać powiadomienia e-mail dotyczące logowania roota i użytkownika SSH
Ilekroć instalujemy, konfigurujemy i zabezpieczamy serwery Linux w środowisku produkcyjnym, bardzo ważne jest śledzenie tego, co dzieje się z serwerami i kto loguje się do serwera, jeśli chodzi o bezpieczeństwo serwera.
Dlaczego, bo jeśli ktoś zalogował się do serwera jako użytkownik root, używając taktyki brutalnej siły przez SSH, to pomyśl, w jaki sposób zniszczy Twój serwer. Każdy użytkownik, który uzyska dostęp do konta root, może robić, co chce. Aby zablokować takie ataki SSH, przeczytaj nasze poniższe artykuły opisujące, jak chronić serwery przed takimi atakami.
- Blokuj ataki Brute Force na serwer SSH za pomocą DenyHosts
- Użyj Pam_Tally2, aby zablokować i odblokować nieudane logowanie SSH
- 5 najlepszych praktyk zabezpieczania i ochrony serwera SSH
Dlatego nie jest dobrą praktyką zezwalanie na bezpośrednie logowanie się do konta root poprzez sesję SSH i zalecanie tworzenia kont innych niż root za pomocą sudo silny> dostęp. Ilekroć potrzebny jest dostęp root, najpierw zaloguj się jako zwykły użytkownik, a następnie użyj su, aby przełączyć się na użytkownika root. Aby wyłączyć bezpośrednie logowanie się przez roota przez SSH, postępuj zgodnie z poniższym artykułem, który pokazuje, jak wyłączyć i ograniczyć logowanie roota przez SSH.
- Wyłącz logowanie root SSH i ogranicz dostęp SSH
Jednak ten przewodnik pokazuje prosty sposób sprawdzenia, czy ktoś zalogował się jako użytkownik root lub zwykły użytkownik, powinien wysłać powiadomienie e-mailowe na podany adres e-mail wraz z adresem IP ostatniego logowania. Tak więc, gdy już znasz adres IP ostatniego logowania nieznanego użytkownika, możesz zablokować logowanie SSH dla danego adresu IP w zaporze iptables.
- Jak zablokować port w zaporze Iptables
Jak ustawić powiadomienia e-mail dotyczące logowania SSH na serwerze Linux
Aby wykonać ten samouczek, musisz mieć dostęp do serwera na poziomie root i trochę wiedzy o edytorze nano lub vi, a także mailx (Klient poczty) zainstalowany na serwerze w celu wysyłania wiadomości e-mail. w zależności od dystrybucji możesz zainstalować klienta mailx za pomocą jednego z poniższych poleceń.
Na Debianie/Ubuntu/Linux Mint
apt-get install mailxW RHEL/CentOS/Fedorze
yum install mailxUstaw powiadomienia e-mail dotyczące logowania do konta głównego SSH
Teraz zaloguj się jako użytkownik root i przejdź do katalogu domowego roota, wpisując polecenie cd /root.
cd /rootNastępnie dodaj wpis do pliku .bashrc. Ten plik ustawia lokalne zmienne środowiskowe dla użytkowników i wykonuje niektóre zadania związane z logowaniem. Na przykład tutaj ustawiamy powiadomienie o logowaniu e-mailem.
Otwórz plik .bashrc za pomocą edytora vi lub nano. Pamiętaj, że .bashrc to plik ukryty, nie zobaczysz go, wykonując polecenie ls -l. Aby zobaczyć ukryte pliki w systemie Linux, musisz użyć flagi -a.
vi .bashrcDodaj następujący cały wiersz na dole pliku. Pamiętaj, aby zastąpić „Nazwa Serwera” nazwą hosta swojego Serwera i zmienić „[chroniony e-mailem]” na swój adres e-mail.
echo 'ALERT - Root Shell Access (ServerName) on:' `date` `who` | mail -s "Alert: Root Access from `who | cut -d'(' -f2 | cut -d')' -f1`" [email Zapisz i zamknij plik, wyloguj się i zaloguj ponownie. Po zalogowaniu się przez SSH domyślnie uruchamiany jest plik .bashrc, który wysyła do Ciebie adres e-mail z powiadomieniem o logowaniu do konta root.
Przykładowy alert e-mailowy
ALERT - Root Shell Access (Database Replica) on: Thu Nov 28 16:59:40 IST 2013 tecmint pts/0 2013-11-28 16:59 (172.16.25.125)Ustaw powiadomienia e-mail dotyczące normalnego logowania użytkownika SSH
Zaloguj się jako zwykły użytkownik (tecmint) i przejdź do katalogu domowego użytkownika, wpisując polecenie cd /home/tecmint/.
cd /home/tecmintNastępnie otwórz plik .bashrc i dodaj następujący wiersz na końcu pliku. Pamiętaj o zastąpieniu wartości, jak pokazano powyżej.
echo 'ALERT - Root Shell Access (ServerName) on:' `date` `who` | mail -s "Alert: Root Access from `who | cut -d'(' -f2 | cut -d')' -f1`" [email Zapisz i zamknij plik, wyloguj się i zaloguj ponownie. Po ponownym zalogowaniu się plik .bashrc zostanie wykonany i wyśle Ci adres e-mail z alertem logowania użytkownika.
W ten sposób możesz ustawić powiadomienie e-mail dla dowolnego użytkownika, aby otrzymywać powiadomienia o logowaniu. Wystarczy otworzyć plik .bashrc użytkownika, który powinien znajdować się w katalogu domowym użytkownika (tj. /home/username/.bashrc) i ustawić alerty logowania zgodnie z powyższym opisem.