Всеки път, когато инсталираме, конфигурираме и защитим Linux сървърите в производствена среда, е много важно да ги запазим проследяване на случващото се със сървърите и кой влиза в сървъра, що се отнася до сигурността на сървър.
Защо, защото ако някой е влязъл в сървъра като корен потребител, използващ тактика на груба сила над SSH, след това помислете как той ще унищожи вашия сървър. Всеки потребител, който получи root достъп, може да прави каквото си иска. За да блокирате такива SSH атаки, прочетете следващите ни статии, които описват как да защитите сървърите от подобни атаки.
Така че не е добра практика да се допуска директно root вход чрез SSH сесия и препоръчайте да създадете акаунти без root с sudo достъп. Когато и да е корен необходим достъп, първо влезте като
нормален потребител и след това използвайте su да преминете към корен потребител. За да деактивирате директно SSH root влизания, следвайте нашата статия по -долу, която показва как да деактивирате и ограничите влизането в root в SSH.Това ръководство обаче показва прост начин да разберете кога някой е влязъл като root или нормален потребител, който трябва да изпрати известие за предупреждение по имейл на посочения имейл адрес заедно с IP адрес на последното влизане. Така че, след като знаете IP адреса на последното влизане, направено от неизвестен потребител, можете да блокирате SSH влизането на конкретен IP адрес iptables Защитна стена.
За да изпълните този урок, трябва да имате корен ниво на достъп на сървъра и малко познания за нано или vi редактор, а също mailx (Пощенски клиент) инсталиран на сървъра за изпращане на имейлите. в зависимост от вашата дистрибуция можете да инсталирате mailx клиент, използвайки една от следните команди.
# apt-get инсталирайте mailx
# yum инсталирате mailx
Сега влезте като корен потребител и отидете в началната директория на root, като въведете cd /root команда.
# cd /корен
След това добавете запис към .bashrc файл. Този файл задава на потребителите променливи на локалната среда и изпълнява някои задачи за влизане. Например, тук задаваме предупреждение за вход по имейл.
Отворено .bashrc файл с vi или нано редактор. Моля, запомнете .bashrc е скрит файл, няма да го видите, като го направите ls -l команда. Трябва да използвате -а флаг, за да видите скрити файлове в Linux.
# vi .bashrc
Добавете следния цял ред в долната част на файла. Не забравяйте да смените „Име на сървъра" с име на хост на вашия сървър и променете “[защитен имейл]”С имейл адрес.
echo 'ALERT - Достъп до коренната обвивка (ServerName) на:' 'date` `who` | mail -s "Предупреждение: Root достъп от` who | cut -d '(' -f2 | cut -d ')' -f1` " [защитен имейл]
Запазете и затворете файла и излезте и влезте отново. След като влезете през SSH, a .bashrc файлът по подразбиране се изпълнява и ви изпраща имейл адрес на предупреждението за коренно влизане.
ALERT-Достъп до коренната обвивка (Реплика на база данни) на: Чет 28 ноември 16:59:40 IST 2013 tecmint точки/0 2013-11-28 16:59 (172.16.25.125)
Влезте като нормален потребител (tecmint) и отидете в домашната директория на потребителя, като въведете cd/home/tecmint/ команда.
# cd /home /tecmint
След това отворете .bashrc файл и добавете следния ред в края на файла. Не забравяйте да замените стойностите, както е показано по -горе.
echo 'ALERT - Достъп до коренната обвивка (ServerName) на:' 'date` `who` | mail -s "Предупреждение: Root достъп от` who | cut -d '(' -f2 | cut -d ')' -f1` " [защитен имейл]
Запазете и затворете файла и излезте и влезте отново. След като влезете отново, a .bashrc файлът се изпълнява и ви изпраща имейл адрес на предупреждението за влизане на потребителя.
По този начин можете да зададете предупреждение по имейл за всеки потребител да получава сигнали за вход. Просто отворете потребителския .bashrc файл, който трябва да се намира в домашната директория на потребителя (т.е. /home/username/.bashrc) и задайте сигнали за вход, както е описано по -горе.