Siempre que instalamos, configuramos y aseguramos servidores Linux en un entorno de producción, es muy importante mantener rastrear lo que está sucediendo con los servidores y quién inicia sesión en el servidor en lo que respecta a la seguridad del servidor.
Por qué, porque si alguien se conecta al servidor como raíz usuario usando tácticas de fuerza bruta sobre SSH, luego piense en cómo destruirá su servidor. Cualquier usuario que obtenga acceso de root puede hacer lo que quiera. Para bloquear tales Ataques SSH, lea nuestros siguientes artículos que describen cómo proteger los servidores de tales ataques.
Por lo tanto, no es una buena práctica permitir inicio de sesión de root vía SSH sesión y recomiendo crear cuentas no root
con sudo acceso. Cuando sea raíz acceso necesario, primero inicie sesión como usuario normal y luego usa su para cambiar a raíz usuario. Para deshabilitar directo Inicios de sesión raíz SSH, siga nuestro artículo a continuación que muestra cómo deshabilitar y limitar el inicio de sesión de root en SSH.Sin embargo, esta guía muestra una forma sencilla de saber cuándo alguien ha iniciado sesión como usuario root o normal debe enviar un notificación de alerta por correo electrónico a la dirección de correo electrónico especificada junto con el dirección IP del último inicio de sesión. Entonces, una vez que sepa la dirección IP del último inicio de sesión realizado por un usuario desconocido, puede bloquear el inicio de sesión SSH de una dirección IP particular en iptables Cortafuegos.
Para realizar este tutorial, debes tener raíz nivel de acceso en el servidor y un poco de conocimiento de nano o vi editor y también mailx (Cliente de correo) instalado en el servidor para enviar los correos electrónicos. dependiendo de su distribución, puede instalar mailx cliente usando uno de los siguientes comandos.
# apt-get install mailx
# yum instalar mailx
Ahora inicie sesión como raíz usuario y vaya al directorio de inicio de root escribiendo cd / raíz mando.
# cd / root
A continuación, agregue una entrada al .bashrc expediente. Este archivo establece variables de entorno local para los usuarios y realiza algunas tareas de inicio de sesión. Por ejemplo, aquí configuramos una alerta de inicio de sesión por correo electrónico.
Abierto .bashrc archivar con vi o nano editor. Atención - Recuerde .bashrc es un archivo oculto, no lo verá al hacer ls -l mando. Tienes que usar -a marca para ver archivos ocultos en Linux.
# vi .bashrc
Agregue la siguiente línea completa al final del archivo. Asegúrese de reemplazar "Nombre del servidor" con un nombre de host de su servidor y cambie "[correo electrónico protegido]”Con su dirección de correo electrónico.
echo 'ALERTA - Acceso al shell raíz (Nombre del servidor) en:' `fecha`` quién` | mail -s "Alerta: Acceso root desde` who | cut -d '(' -f2 | cut -d ')' -f1` " [correo electrónico protegido]
Guarde y cierre el archivo y cierre la sesión y vuelva a iniciarla. Una vez que inicie sesión a través de SSH, .bashrc archivo de forma predeterminada ejecutado y le envía una dirección de correo electrónico de la alerta de inicio de sesión de root.
ALERTA - Acceso al shell raíz (réplica de la base de datos) el: jueves 28 de noviembre 16:59:40 IST 2013 tecmint pts / 0 2013-11-28 16:59 (172.16.25.125)
Inicie sesión como usuario normal (tecmint) y vaya al directorio de inicio del usuario escribiendo cd / inicio / tecmint / mando.
# cd / home / tecmint
A continuación, abra .bashrc archivo y agregue la siguiente línea al final del archivo. Asegúrese de reemplazar los valores como se muestra arriba.
echo 'ALERTA - Acceso al shell raíz (Nombre del servidor) en:' `fecha`` quién` | mail -s "Alerta: Acceso root desde` who | cut -d '(' -f2 | cut -d ')' -f1` " [correo electrónico protegido]
Guarde y cierre el archivo y cierre la sesión y vuelva a iniciar sesión. Una vez que vuelva a iniciar sesión, .bashrc archivo ejecutado y le envía una dirección de correo electrónico de la alerta de inicio de sesión del usuario.
De esta forma, puede configurar una alerta por correo electrónico para que cualquier usuario reciba alertas de inicio de sesión. Simplemente abra el usuario .bashrc archivo que debe ubicarse en el directorio de inicio del usuario (es decir, /home/username/.bashrc) y configure las alertas de inicio de sesión como se describe anteriormente.