Zum Inhalt springen

eMail bei SSH-Login

ssambdar

Von ssambdar
in Linux

 Teilen

Empfohlene Beiträge

ssambdar

ssambdar

Geschrieben
Geschrieben

Hallo zusammen, um meinen Server ein wenig abzusichern, möchte ich gerne folgede Idee realisieren:

Wenn sich ein User per SSH einloggt, soll eine eMail mit Username, Uhrzeit und IP an eine bestimmte eMail-Adresse gesendet werden.

Noch besser wäre es, wenn ich schon eine Mail bei einem Login-Versuch generieren könnte. Damit ich also auch direkt fehlerhafte Logins zugeschickt bekomme.

Frage: Wie kann ich das realisieren bzw. wo kann ich diese Ereignisse (Login, Loginversuch) abfangen, um mir eigene Scripts zu basteln?

Infos für diejenigen, deren Glaskugel defekt ist:

- SuSE 9.0 bzw. Debian Woody (würde das gerne auf beiden benutzen)

- "standard" SSH Zugang (Das, was halt bei den Distis dabei ist)

Link zu diesem Kommentar
Auf anderen Seiten teilen
taschentoast

taschentoast

Geschrieben
Geschrieben
Hallo zusammen, um meinen Server ein wenig abzusichern, möchte ich gerne folgede Idee realisieren:

Wenn sich ein User per SSH einloggt, soll eine eMail mit Username, Uhrzeit und IP an eine bestimmte eMail-Adresse gesendet werden.

Noch besser wäre es, wenn ich schon eine Mail bei einem Login-Versuch generieren könnte. Damit ich also auch direkt fehlerhafte Logins zugeschickt bekomme.

Das willst du nicht. Neineinein :D

Nicht, wenn wie zur Zeit Bots durchs Netz schwirren, die überall ssh-logins versuchen.

Jaaaa, 200-300 Login-Versuche + mail pro Minute sind möglich. Kein Spaß.

Ein fehlerhafter login wäre mir nichtmal eine Logmeldung wert, wenn diese Bedingungen gegeben sind:

Ich habe Kontrolle über den Server, aktueller ssh-Server ohne Lücken, nur public-key auth, kein root-login möglich.

Ansonsten evtl eine syslog-meldung bei fehlerhaftem root-login.

Wenn für erfolgreiche Logins eine Mail willst, spiel doch mal ein wenig mit der .profile des users rum, da kannst du Skripte ausführen lassen.

Wenn du sonst was zu Absicherung von Servern wissen willst, frag einfach :)

viel Erfolg

taschentoast

Link zu diesem Kommentar
Auf anderen Seiten teilen
ssambdar

ssambdar

Geschrieben
  • Autor
Geschrieben
Wenn du deinen Server absichern willst, solltest du [...] dir Gedanken ueber die (Konfiguration der) restliche Software machen.

Glaube mir, die restliche Software wird auf dem laufenden gehalten. Aber ich bin nicht der einzige, der Zugriff auf diesen Server hat. Aber für die paar Zugriffe im Monat per SSH möchte ich Informiert sein. Einfach nur aus dem Grund, dass ich bei einem Bekannten mitbekommen habe, dass da schon lange jemand Shell-Zugriff hatte, aber keiner hats bemerkt.

Mit den .profiles ist bestimmt eine gute idee. Müsste ich mal schauen, was da machbar ist. Allerdings interessiert mich trotzdem die Variante, mit einem Scriptaufruf bei Login-Versuch. Natürlich wäre dann ein Mailversand nicht die richtige Lösung. Aber ich habe auch die Möglichkeit die Ausgabe des Scriptes auf einen Nadeldrucker umzuleiten. Da könnte man so etwas sicher mitschreiben. Jedenfalls könnte ein potentieller Angreifer das "Log" nicht löschen.

Also, über einen Lösungsansatz für diese Variante wäre ich dankbar.

Link zu diesem Kommentar
Auf anderen Seiten teilen
Schlaubi

Schlaubi

Geschrieben
Geschrieben

Hi,

also du kannst das ganze natürlich bis aufs kleineste Detail verfeinern,

aber im Prinzip würde schon ein 'echo' langen.

Sschreib einfach folgendes in die .profile deines Users 'xy':

 user=xy; echo "$(date)    : user '$user' logged in." | a2ps -R --columns=1 -f 7

Entweder du übergibst es dem Printer wie in diesem Fall oder du pipest es

in mail. Natürlich kannst du es dir auch in ein Logfile schreiben mit ">>$LOGFILE". Wenn du den root-Abprüfen willst, dann müsstest du auch noch die IP herausbekommen, damits dir was bringt - dafür schau dir mal den Befehl 'who' an.

Übrigens wer zuletzt auf dem System war kannst du auch mit 'last' feststellen.

Link zu diesem Kommentar
Auf anderen Seiten teilen
ssambdar

ssambdar

Geschrieben
  • Autor
Geschrieben
Das hat man bei einer Kiste, die am Internet haengt ca. 200mal am Tag. Das willst du sicher nicht jedes mal nachverfolgen.

Hätte ich sonst gefragt? Ich habe das schon ernsthaft vor. Nur halt nicht per Mail. Es geht hier halt um einen wichtigen Server im Internet, wo ich auch mit ein paar Hundert Meldungen am Tag leben kann.

Link zu diesem Kommentar
Auf anderen Seiten teilen
Nachtgeist

Nachtgeist

Geschrieben
Geschrieben

Mein Chef wuerde mich totpruegeln, wenn ich meine Arbeitszeit mit sowas verschwenden wuerde. ;)

Sinnvoll waere es wohl, einen logwatcher auf das authlog anzusetzen, der dir mehrere Fehlversuche von einer Quelle aus zusammenfasst. (z.B. in einem neuen Logfile) Damit drueckst du die Anzahl der Meldungen wenigstens auf a) die Relevanten und B) auf eine ertraegliche Menge.

Link zu diesem Kommentar
Auf anderen Seiten teilen

Dein Kommentar

Du kannst jetzt schreiben und Dich später registrieren. Wenn Du ein Konto hast, melde Dich jetzt an, um unter Deinem Benutzernamen zu schreiben.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung wiederherstellen

  Nur 75 Emojis sind erlaubt.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

×
 Teilen
Zur Themenübersicht

Fachinformatiker.de, 2024 by SE Internet Services

fidelogo_small.png

Schicke uns eine Nachricht!

Fachinformatiker.de ist die größte IT-Community
rund um Ausbildung, Job, Weiterbildung für IT-Fachkräfte.

Links

Fachinformatiker.de App

Download on the App Store
Get it on Google Play

Kontakt

Hier werben?
Oder sende eine E-Mail an

Social media u. feeds

Jobboard für Fachinformatiker und IT-Fachkräfte

×
×
  • Neu erstellen...