主页 / ubuntu / 问题 / 517462
Accepted
Nick The Swede
Asked: 2014-08-30 00:14:22 +0800 CST

接收登录尝试警报的方式,无论是否成功?

  • 772

我相信我的 linux 机器得到了合理的保护,免受外部登录。但是由于我有点偏执,我希望在尝试登录服务器时收到警报,无论成功与否。

扫描网站,我找不到任何统一的方式来做到这一点。据我所知,对于不成功的尝试,建议使用 logcheck,对于成功的尝试,建议使用 sshrc 或(甚至更多)pam_exec 方法。我喜欢一次掷出两块石头的方法,想知道你们中的任何专业人士是否知道是否有一种方法可以让这些方法中的一种同时做到这两种方法?PAM 似乎特别适合做事,因为据我所知,毕竟它是我 ubuntu 机器上的中央身份验证系统。

有什么建议吗?

server

1 个回答

  1. Best Answer

    好吧,您可以使用cron一个愚蠢的小脚本/var/log/auth.log每 10 分钟检查一次。如果你设置正确,cron将通过电子邮件输出任何你喜欢的地方,所以我们只需要一个脚本来运行:

    #!/bin/bash
cat /var/log/auth.log | perl -MDate::Parse -ne '
  print if /login|ssh/ && /^(\S+\s+\d+\s+\d+:\d+:\d+)\s/ && str2time($1) > time-600'

    这是基于F. Hauri对 SO的回答

    那只是在寻找带有loginssh在里面的项目。您可能想要添加更多或只是排除一些。但在我的系统上,这是它生成的内容:

    Aug 29 10:19:50 bert sudo:      oli : TTY=pts/10 ; PWD=/home/oli ; USER=root ; COMMAND=/bin/login
Aug 29 10:19:52 bert login[15544]: pam_unix(login:session): session opened for user oli by oli(uid=0)
Aug 29 10:19:54 bert login[15544]: pam_unix(login:session): session closed for user oli
Aug 29 10:20:11 bert sshd[15614]: Accepted publickey for oli from ::1 port 41663 ssh2: RSA XXXXXXXXXXXXXXXXXXXXXXXXXXXX
Aug 29 10:20:11 bert sshd[15614]: pam_unix(sshd:session): session opened for user oli by (uid=0)

    将该脚本保存为/usr/local/sbin/checkauth(和chmod u+x它)之类的东西,然后您可以添加一个根 crontab 行sudo crontab -e

    */10 * * * * /usr/local/sbin/checkauth

    在cronMAILTO="[email protected]"文件的顶部也加一行(前提是安装了邮件服务器——postfix如果没有安装)你将收到输出的电子邮件,前提是有任何输出。

    • 3

相关问题