安全监控之Linux核心资产SSH连接监测邮件
文章目录
- 一、引言
- 二、邮箱设置
- 三、脚本配置
- 四、登录测试
一、引言
在某些特殊时期(如HVV)需要重点监控Linux核心资产SSH连接登录活动情况,实现ssh登录报警监控。其实实现方式并不难。
二、邮箱设置
在邮箱中需要启用“SMTP”协议,并生成对应的客户端授权码。
三、脚本配置
操作系统:CentOS Linux release 7.9.2009 (Core)
步骤1:登录要进行ssh登录监控的 Linux 服务器,在 /etc/ssh 创建"sshrc"文件:
#!/bin/bash
#获取登录者的用户名
user=$USER
#获取登录者的IP地址
ip=${SSH_CLIENT%% *}
#获取登录的时间(精确到秒)
time=$(date +%F" "%H:%M:%S)
#服务器的IP地址
hostname=$(hostname)
echo "您的机器:$hostname,于:$time,被IP:$ip以账号$user进行登录,请确认是否为公司员工。" > logpython3 /etc/ssh/testEmail.py "$time" "$user" "$ip" "$hostname"
步骤2:并在如上自定义路径中创 建 “testEmail.py” 脚本文件。
# ls -l
总用量 616
......
-rw-r--r-- 1 root root 410 4月 11 13:41 sshrc
-rw-r--r-- 1 root root 2007 4月 11 13:35 testEmail.py
步骤3:修改Python代码中自定义配置部分。
四、登录测试
再次进行ssh登录该服务器会收到邮件如下图,则表示ssh被监控成功。
登录Linux主机提示如下:
源代码:
- https://github.com/zuozewei/blog-example/tree/master/Operations/SSH_Alert_%20Log
参考资料:
- https://developer.aliyun.com/article/611488