CentOS / RHEL 시스템이 해킹되었을 수 있습니다. 잘 모르겠습니다. 그러나 처음부터 새 슬라이스를 만들어서 안전하게 재생하고 있습니다.
tripwire를 설치했지만 누군가가 로그인 할 때 이메일을 보내고 싶습니다. 매일 로그 워치 보고서를 기다리지 않고 누군가가 로그인 할 때 즉시 이메일을 원합니다. IP 주소도 함께 사용하는 것이 좋습니다.
제안?
로그 파일 항목에 이메일 알림 보내기 와 유사 합니까? 그러나 누군가 가이 특정 문제에 대한 기술을 가지고있을 수 있습니다.
감사,
래리
추가 : http://forums11.itrc.hp.com/service/forums/questionanswer.do?admit=109447626+1249534744623+28353475&threadId=698232 에는 몇 가지 아이디어가 있습니다.
답변
OSSEC 과 같은 로그 모니터링에는 솔루 시온을 사용해야하며 , 로그에서 보안 정보 (로그인, sudo 등 포함)를 찾고 경보가 중요 할 때 이메일을 보내 게됩니다.
구성하기 쉽고 이메일에 대한 경고 수준을 높이거나 alert-by-email
특정 경고에 포함 할 수 있습니다 .
또한 구성 가능한 활성 응답을 수행하여 IP를 차단하고 기본적으로 일정 기간 동안 액세스를 거부 할 수 있습니다.
답변
root가 하나 이상의 터미널에 로그인 되어도 깨지지 않는 adams 솔루션의 약간의 변경 :
login_info="$(who | head -n1 | cut -d'(' -f2 | cut -d')' -f1)"
message="$(
printf "ALERT - Root Shell Access (%s) on:\n" "$(hostname)"
date
echo
who
)"
mail -s "Alert: Root Access from ${login_info}" admin <<< "${message}"
답변
이것을 .bashrc에 넣을 수 있습니다.
echo 'ALERT - Root Shell Access to' $(hostname) 'on:' `date` `who` \
| mail -s "Alert: Root Access from `who | cut -d"(" -f2 | cut -d")" -f1`" YOUREMAIL
답변
/ etc / profile에 적절한 명령을 추가하거나 스크립트를 호출 할 수 있습니다.
답변
컴퓨터가 해킹당한 경우 전자 메일 경고 기능을 사용하지 않도록 설정하는 것은 스크립트 아동이 아니라고 가정하면 해커에게는 사소한 작업 일 수 있습니다.
답변
이 기사에서는 PAM을 사용하여 SSH 로그인시 이메일 을 보내는 방법에 대해 설명합니다 .
답변
Github Gist에서 원하는 것을 수행 하는 bash 스크립트 를 게시했습니다 . 사용자가 새 IP 주소로 로그인 할 때마다 시스템 관리자에게 이메일을 보냅니다. 엄격하게 제어되는 프로덕션 시스템에서 스크립트를 면밀히 조사하여 스크립트를 사용합니다. 로그인이 손상된 경우 비정상적인 로그인 위치에 대한 알림을 받고 심각한 손상을 입기 전에 시스템에서 로그인 할 수있는 기회가 있습니다.
스크립트를 설치하려면 sysadmin 이메일로 업데이트 한 다음에 복사하십시오 /etc/profile.d/
.