Como obter alertas de e-mail de login SSH de usuário e root
Sempre que instalamos, configuramos e protegemos servidores Linux em um ambiente de produção, é muito importante acompanhar o que está acontecendo com os servidores e quem faz login no servidor no que diz respeito à segurança do servidor.
Porque se alguém se logou no servidor como usuário root usando táticas de força bruta sobre SSH, então pense em como ele destruirá seu servidor. Qualquer usuário que obtiver acesso root pode fazer o que quiser. Para bloquear esses ataques SSH, leia nossos artigos a seguir que descrevem como proteger os servidores contra tais ataques.
- Bloqueie ataques de força bruta do servidor SSH usando DenyHosts
- Use Pam_Tally2 para bloquear e desbloquear logins com falha de SSH
- 5 melhores práticas para proteger e proteger o servidor SSH
Portanto, não é uma boa prática permitir o login root direto via sessão SSH e recomendamos criar contas não root com sudo. forte> acesso. Sempre que for necessário acesso root, primeiro faça login como usuário normal e depois use su para mudar para o usuário root. Para desabilitar logins root SSH diretos, siga nosso artigo abaixo que mostra como desabilitar e limitar o login root em SSH.
- Desative o login raiz SSH e limite o acesso SSH
No entanto, este guia mostra uma maneira simples de saber quando alguém fez login como usuário root ou normal. Ele deve enviar uma notificação de alerta por e-mail para o endereço de e-mail especificado junto com o endereço IP. do último login. Assim, depois de saber o endereço IP do último login feito por um usuário desconhecido, você pode bloquear o login SSH de um endereço IP específico no Firewall iptables.
- Como bloquear porta no firewall Iptables
Como definir alertas de e-mail de login SSH no servidor Linux
Para realizar este tutorial, você deve ter acesso em nível root no servidor e um pouco de conhecimento do editor nano ou vi e também do mailx (Mail Client) instalado no servidor para enviar os emails. dependendo da sua distribuição você pode instalar o cliente mailx usando um dos seguintes comandos.
No Debian/Ubuntu/Linux Mint
apt-get install mailxNo RHEL/CentOS/Fedora
yum install mailxDefinir alertas de e-mail de login raiz SSH
Agora faça login como usuário root e vá para o diretório inicial do root digitando o comando cd /root.
cd /rootEm seguida, adicione uma entrada ao arquivo .bashrc. Este arquivo define variáveis de ambiente locais para os usuários e executa algumas tarefas de login. Por exemplo, aqui definimos um alerta de login por e-mail.
Abra o arquivo .bashrc com o editor vi ou nano. Lembre-se de que .bashrc é um arquivo oculto, você não o verá executando o comando ls -l. Você deve usar o sinalizador -a para ver arquivos ocultos no Linux.
vi .bashrcAdicione a seguinte linha inteira na parte inferior do arquivo. Certifique-se de substituir “ServerName ” por um nome de host do seu servidor e altere “[email ” por seu endereço de e-mail.
echo 'ALERT - Root Shell Access (ServerName) on:' `date` `who` | mail -s "Alert: Root Access from `who | cut -d'(' -f2 | cut -d')' -f1`" [email Salve e feche o arquivo, efetue logout e login novamente. Depois de fazer login via SSH, um arquivo .bashrc é executado por padrão e envia um endereço de e-mail do alerta de login root.
Exemplo de alerta por e-mail
ALERT - Root Shell Access (Database Replica) on: Thu Nov 28 16:59:40 IST 2013 tecmint pts/0 2013-11-28 16:59 (172.16.25.125)Definir alertas de e-mail de login de usuário normal SSH
Faça login como usuário normal (tecmint) e vá para o diretório inicial do usuário digitando o comando cd /home/tecmint/.
cd /home/tecmintEm seguida, abra o arquivo .bashrc e adicione a seguinte linha no final do arquivo. Certifique-se de substituir os valores conforme mostrado acima.
echo 'ALERT - Root Shell Access (ServerName) on:' `date` `who` | mail -s "Alert: Root Access from `who | cut -d'(' -f2 | cut -d')' -f1`" [email Salve e feche o arquivo e faça logout e login novamente. Depois de fazer login novamente, um arquivo .bashrc será executado e enviará a você um endereço de e-mail do alerta de login do usuário.
Dessa forma, você pode definir um alerta por e-mail para qualquer usuário receber alertas de login. Basta abrir o arquivo .bashrc do usuário, que deve estar localizado no diretório inicial do usuário (ou seja, /home/username/.bashrc) e definir os alertas de login conforme descrito acima.