Ricerca nel sito web

Come ottenere avvisi e-mail di accesso SSH root e utente


Ogni volta che installiamo, configuriamo e proteggiamo i server Linux in un ambiente di produzione, è fondamentale tenere traccia di ciò che sta accadendo ai server e di chi accede al server per quanto riguarda la sicurezza del server.

Perché, se qualcuno accedesse al server come utente root utilizzando tattiche di forza bruta su SSH, allora pensa a come distruggerà il tuo server. Qualsiasi utente che ottiene l'accesso root può fare quello che vuole. Per bloccare tali attacchi SSH, leggi i nostri articoli seguenti che descrivono come proteggere i server da tali attacchi.

  1. Blocca gli attacchi di forza bruta del server SSH utilizzando DenyHosts
  2. Utilizza Pam_Tally2 per bloccare e sbloccare accessi SSH non riusciti
  3. 5 migliori pratiche per proteggere e proteggere il server SSH

Pertanto, non è una buona pratica consentire l'accesso root diretto tramite la sessione SSH e consigliare di creare account non root con sudo forte> accesso. Ogni volta che è necessario l'accesso root, accedi prima come utente normale e poi utilizza su per passare all'utente root. Per disattivare gli accesso root SSH diretti, segui il nostro articolo riportato di seguito che mostra come disattivare e limitare l'accesso root in SSH.

  1. Disabilita l'accesso root SSH e limita l'accesso SSH

Tuttavia, questa guida mostra un modo semplice per sapere quando qualcuno ha effettuato l'accesso come utente root o normale e deve inviare una notifica di avviso via email all'indirizzo email specificato insieme all'indirizzo IP dell'ultimo accesso. Quindi, una volta che conosci l'indirizzo IP dell'ultimo accesso effettuato da un utente sconosciuto, puoi bloccare l'accesso SSH di un particolare indirizzo IP sul firewall iptables.

  1. Come bloccare la porta nel firewall Iptables

Come impostare gli avvisi e-mail di accesso SSH nel server Linux

Per realizzare questo tutorial, devi avere accesso a livello root sul server e una piccola conoscenza dell'editor nano o vi e anche mailx (Mail Client) installato sul server per inviare le email. a seconda della tua distribuzione puoi installare il client mailx utilizzando uno dei seguenti comandi.

Su Debian/Ubuntu/Linux Mint
apt-get install mailx
Su RHEL/CentOS/Fedora
yum install mailx

Imposta avvisi e-mail di accesso root SSH

Ora accedi come utente root e vai alla directory home di root digitando il comando cd /root.

cd /root

Successivamente, aggiungi una voce al file .bashrc. Questo file imposta le variabili di ambiente locale per gli utenti ed esegue alcune attività di accesso. Ad esempio, qui impostiamo un avviso di accesso via email.

Apri il file .bashrc con l'editor vi o nano. Ricorda che .bashrc è un file nascosto, non lo vedrai utilizzando il comando ls -l. Devi usare il flag -a per vedere i file nascosti in Linux.

vi .bashrc

Aggiungi la seguente riga intera in fondo al file. Assicurati di sostituire "ServerName " con un nome host del tuo server e di modificare "[email " con il tuo indirizzo email.

echo 'ALERT - Root Shell Access (ServerName) on:' `date` `who` | mail -s "Alert: Root Access from `who | cut -d'(' -f2 | cut -d')' -f1`" [email 

Salva e chiudi il file, esci e accedi nuovamente. Una volta effettuato l'accesso tramite SSH, un file .bashrc viene eseguito per impostazione predefinita e ti invia un indirizzo email con l'avviso di accesso root.

Esempio di avviso e-mail
ALERT - Root Shell Access (Database Replica) on: Thu Nov 28 16:59:40 IST 2013 tecmint pts/0 2013-11-28 16:59 (172.16.25.125)

Imposta avvisi e-mail di accesso utente normale SSH

Accedi come utente normale (tecmint) e vai alla directory home dell'utente digitando il comando cd /home/tecmint/.

cd /home/tecmint

Successivamente, apri il file .bashrc e aggiungi la seguente riga alla fine del file. Assicurati di sostituire i valori come mostrato sopra.

echo 'ALERT - Root Shell Access (ServerName) on:' `date` `who` | mail -s "Alert: Root Access from `who | cut -d'(' -f2 | cut -d')' -f1`" [email 

Salvare e chiudere il file, effettuare il logout e accedere nuovamente. Una volta effettuato nuovamente l'accesso, verrà eseguito un file .bashrc che ti invierà un indirizzo email con l'avviso di accesso dell'utente.

In questo modo puoi impostare un avviso email su qualsiasi utente per ricevere avvisi di accesso. Basta aprire il file .bashrc dell'utente che dovrebbe trovarsi nella directory home dell'utente (ad esempio /home/nomeutente/.bashrc) e impostare gli avvisi di accesso come descritto sopra.