您当前的位置：首页 > 学海无涯 > 信息安全网站首页信息安全

Linux之ssh登录报警

发布时间：2015-11-02作者：

 

1、首先来配置发件环境，这里介绍CentOS

yum install perl-IO-Socket-SSL perl-Net-SSLeay -y
wget http://caspian.dotconf.net/menu/Software/SendEmail/sendEmail-v1.56.tar.gz -O /tmp/sendEmail-v1.56.tar.gz
cd /tmp
tar xf sendEmail-v1.56.tar.gz
mv sendEmail-v1.56/sendEmail /usr/local/bin/
chmod +x /usr/local/bin/sendEmail && cd
wget http://stedolan.github.io/jq/download/linux64/jq -O /usr/local/bin/jq
chmod +x /usr/local/bin/jq

2、然后配置报警邮件

chmod +x /etc/WarringLoging.sh
#echo "screen -fa -d -m -S WL /etc/WarringLoging.sh" >> /etc/profile #第一种方法，新开终端复制终端都会报警
#echo -e "#!/bin/bash\nbash /etc/WarringLoging.sh" >> /etc/ssh/sshrc #第二种方法，只有ssh登录才会报警
#上面两种方法任选一个都可以

3、最后编辑收发邮件的信息

 vi /etc/WarringLoging.sh

4、下面是报警邮件脚本

#!/bin/bash
#########################################################################
eval `curl -s "http://ip.taobao.com/service/getIpInfo.php?ip=${SSH_CLIENT%% *}" | jq . | awk -F':|[ ]+|"' '$3~/^(country|area|region|city|isp)$/{print $3"="$7}'`
EMAIL=`which sendEmail`
FEMAIL="13800138000#139.com" #发件邮箱
MAILP="123456" #发件邮箱密码
MAILSMTP="smtp.139.com" #发件邮箱的SMTP
MAILT="13800138000#139.com" #收件邮箱
MAILmessage="登入者IP地址：${SSH_CLIENT%% *}\n\
IP归属地：${country}_${area}_${region}_${city}_${isp}\n\
被登录服务器IP：$(curl -s ip.cn| grep -Eo '([0-9]{1,3}[\.]){3}[0-9]{1,3}')"
$EMAIL -q -f $FEMAIL -t $MAILT -u "您服务器有人登录SSH" -m "$MAILmessage" -s $MAILSMTP -o message-charset=utf-8 -xu $FEMAIL -xp $MAILP

5、邮件转手机短信

推荐使用移动的139邮箱。

6、最简单实用方式

使用Cacti监控Logged in users。