Cómo obtener alertas por correo electrónico de inicio de sesión de Root y User SSH
- 4476
- 697
- Hugo Vera
Cada vez que instalamos, configuramos y aseguramos los servidores de Linux en un entorno de producción, es muy crucial realizar un seguimiento de lo que está sucediendo con los servidores y quién inicia el servidor en lo que respecta a la seguridad del servidor.
Obtenga alertas de correo electrónico de inicio de sesión de SSH Root Por qué, porque si alguien inició sesión en el servidor como raíz usuario utilizando tácticas de fuerza bruta encima Ssh, Entonces piense en cómo destruirá su servidor. Cualquier usuario que obtenga acceso a la raíz puede hacer lo que quiera. Bloquear tal Ataques ssh, Lea nuestros siguientes artículos que describen cómo proteger a los servidores de tales ataques.
- Bloquear ataques de fuerza bruta del servidor SSH usando DenyHosts
- Use pam_tally2 para bloquear y desbloquear los inicios de sesión fallidos de SSH
- 5 mejores prácticas para asegurar y proteger el servidor SSH
Entonces, no es una buena práctica permitir directamente inicio de sesión de raíz a través de Ssh sesión y recomendar crear Cuentas no raíz con sudo acceso. Cuando sea raíz Se necesita acceso, primero inició sesión como usuario normal y luego usar SU para cambiar a raíz usuario. Para deshabilitar directamente SSH ROOT ROGOS, Siga nuestro siguiente artículo que muestra cómo deshabilitar y limitar el inicio de sesión raíz en SSH.
- Desactivar el inicio de sesión de la raíz SSH y limitar el acceso SSH
Sin embargo, esta guía muestra una forma simple de saber cuándo alguien inició sesión como usuario root o normal, debe enviar un Notificación de alerta de correo electrónico a la dirección de correo electrónico especificada junto con el dirección IP del último inicio de sesión. Entonces, una vez que conozca la dirección IP del último inicio de sesión realizado por un usuario desconocido, puede bloquear el inicio de sesión SSH de la dirección IP particular en iptables Cortafuegos.
- Cómo bloquear el puerto en firewall iptable
Cómo establecer alertas de correo electrónico de inicio de sesión de SSH en el servidor Linux
Para llevar a cabo este tutorial, debes tener raíz acceso a nivel en el servidor y un poco de conocimiento de nano o VI editor y también mailx (Cliente de correo) instalado en el servidor para enviar los correos electrónicos. Dependiendo de su distribución que pueda instalar mailx Cliente que usa uno de los siguientes comandos.
En Debian/Ubuntu/Linux Mint
# apt-get install mailx
En rhel/centos/fedora
# yum install mailx
Establecer alertas de correo electrónico de inicio de sesión de SSH root
Ahora inicie sesión como raíz usuario y ir al directorio de casa de Root escribiendo CD /Root dominio.
# CD /Root
A continuación, agregue una entrada al .bashrc archivo. Este archivo establece variables de entorno local a los usuarios y realiza algunas tareas de inicio de sesión. Por ejemplo, aquí configuramos una alerta de inicio de sesión de correo electrónico.
Abierto .bashrc presentar con VI o nano editor. Atención - Recuerde .bashrc es un archivo oculto, no lo verá haciendo LS -L dominio. Tienes que usar -a bandera para ver archivos ocultos en Linux.
# VI .bashrc
Agregue la siguiente línea completa en la parte inferior del archivo. Asegúrese de reemplazar "Nombre del servidor" con un nombre de host de su servidor y cambia "[correo electrónico protegido]"Con una dirección de correo electrónico.
echo 'alerta - access de shell (servername) en: "fecha" quién' | Mail -S "Alerta: acceso raíz desde 'Who | Cut -d' ('-f2 | Cut -d') '-f1'" [Correo electrónico protegido] Guarde y cierre el archivo y el inicio de sesión y vuelva a iniciar sesión. Una vez que inicie sesión a través de SSH, un .bashrc Archivo por defecto ejecutado y le envía una dirección de correo electrónico de la alerta de inicio de sesión raíz.
Muestra de alerta de correo electrónico
Alerta-Acceso a Shell Root (réplica de la base de datos) en: Jue 28 de noviembre 16:59:40 IST 2013 TECMINT PTS/0 2013-11-28 16:59 (172 (172.dieciséis.25.125)
Establecer alertas de correo electrónico de inicio de sesión de usuario de SSH Normal
Iniciar sesión como usuario normal (tecmenta) y vaya al directorio de inicio del usuario escribiendo CD/HOME/TECMINT/ dominio.
# CD /HOME /TECMINT
A continuación, abra .bashrc archivo y agregue la siguiente línea al final del archivo. Asegúrese de reemplazar los valores como se muestra arriba.
echo 'alerta - access de shell (servername) en: "fecha" quién' | Mail -S "Alerta: acceso raíz desde 'Who | Cut -d' ('-f2 | Cut -d') '-f1'" [Correo electrónico protegido] Guarde y cierre el archivo y el inicio de sesión e inicie sesión nuevamente. Una vez que vuelves a iniciar sesión, un .bashrc Archivo ejecutado y le envía una dirección de correo electrónico de la alerta de inicio de sesión del usuario.
De esta manera, puede establecer una alerta de correo electrónico en cualquier usuario para recibir alertas de inicio de sesión. Simplemente abra el usuario .bashrc Archivo que debe ubicarse en el directorio de inicio del usuario (i.mi. /Inicio/nombre de usuario/.bashrc) y configure las alertas de inicio de sesión como se describe anteriormente.
- « Cómo crear archivos de dispositivo en Linux usando el comando mknod
- 6 DISCONTRAS DE LINUX para fines educativos que vale la pena notar »