Πώς να λάβετε ειδοποιήσεις ηλεκτρονικού ταχυδρομείου σύνδεσης Root και χρήστη SSH

Κάθε φορά που εγκαθιστούμε, διαμορφώνουμε και ασφαλίζουμε διακομιστές Linux σε ένα περιβάλλον παραγωγής, είναι πολύ σημαντικό να παρακολουθούμε τι συμβαίνει με τους διακομιστές και ποιος συνδέεται στον διακομιστή όσον αφορά την ασφάλεια του διακομιστή.

Γιατί, γιατί αν κάποιος συνδέθηκε στον διακομιστή ως χρήστης root χρησιμοποιώντας τακτικές ωμής βίας έναντι SSH, τότε σκεφτείτε πώς θα καταστρέψει τον διακομιστή σας. Όποιος χρήστης αποκτά πρόσβαση root μπορεί να κάνει ό,τι θέλει. Για να αποκλείσετε τέτοιες επιθέσεις SSH, διαβάστε τα ακόλουθα άρθρα μας που περιγράφουν τον τρόπο προστασίας των διακομιστών από τέτοιες επιθέσεις.

  1. Αποκλεισμός επιθέσεων ωμής δύναμης διακομιστή SSH με χρήση DenyHosts
  2. Χρησιμοποιήστε το Pam_Tally2 για να κλειδώσετε και να ξεκλειδώσετε αποτυχημένες συνδέσεις SSH
  3. 5 βέλτιστες πρακτικές για την ασφάλεια και την προστασία του διακομιστή SSH

Επομένως, δεν είναι καλή πρακτική να επιτρέπετε την άμεση σύνδεση ρίζας μέσω περιόδου σύνδεσης SSH και να προτείνετε τη δημιουργία λογαριασμών που δεν είναι root με το sudo πρόσβαση. Όποτε απαιτείται πρόσβαση root, συνδεθείτε πρώτα ως κανονικός χρήστης και, στη συνέχεια, χρησιμοποιήστε το su για να μεταβείτε σε root χρήστη. Για να απενεργοποιήσετε τις άμεσες αρχικές συνδέσεις SSH, ακολουθήστε το παρακάτω άρθρο που δείχνει πώς μπορείτε να απενεργοποιήσετε και να περιορίσετε τη σύνδεση ρίζας στο SSH.

  1. Απενεργοποιήστε τη σύνδεση SSH Root και Περιορίστε την πρόσβαση SSH

Ωστόσο, αυτός ο οδηγός δείχνει έναν απλό τρόπο για να γνωρίζετε όταν κάποιος έχει συνδεθεί ως root ή κανονικός χρήστης θα πρέπει να στείλει μια ειδοποίηση ειδοποίησης μέσω email στην καθορισμένη διεύθυνση email μαζί με τη διεύθυνση IP τελευταίας σύνδεσης. Έτσι, αφού γνωρίζετε τη διεύθυνση IP της τελευταίας σύνδεσης που έγινε από άγνωστο χρήστη, μπορείτε να αποκλείσετε τη σύνδεση SSH συγκεκριμένης διεύθυνσης IP στο Τείχος προστασίας iptables.

  1. Πώς να αποκλείσετε τη θύρα στο τείχος προστασίας Iptables

Πώς να ορίσετε ειδοποιήσεις ηλεκτρονικού ταχυδρομείου σύνδεσης SSH στον διακομιστή Linux

Για να πραγματοποιήσετε αυτό το σεμινάριο, πρέπει να έχετε πρόσβαση σε επίπεδο root στον διακομιστή και λίγη γνώση του προγράμματος επεξεργασίας nano ή vi και επίσης mailx (Mail Client) εγκατεστημένο στον διακομιστή για την αποστολή των μηνυμάτων ηλεκτρονικού ταχυδρομείου. Ανάλογα με τη διανομή σας, μπορείτε να εγκαταστήσετε το πρόγραμμα-πελάτη mailx χρησιμοποιώντας μία από τις ακόλουθες εντολές.

Σε Debian/Ubuntu/Linux Mint
# apt-get install mailx
Σε RHEL/CentOS/Fedora
# yum install mailx

Ορισμός ειδοποιήσεων ηλεκτρονικού ταχυδρομείου σύνδεσης ρίζας SSH

Τώρα συνδεθείτε ως χρήστης root και μεταβείτε στον κεντρικό κατάλογο του root πληκτρολογώντας την εντολή cd /root.

# cd /root

Στη συνέχεια, προσθέστε μια καταχώρηση στο αρχείο .bashrc. Αυτό το αρχείο ορίζει τοπικές μεταβλητές περιβάλλοντος στους χρήστες και κάνει ορισμένες εργασίες σύνδεσης. Για παράδειγμα, εδώ ορίζουμε μια ειδοποίηση σύνδεσης μέσω email.

Ανοίξτε το αρχείο .bashrc με το πρόγραμμα επεξεργασίας vi ή nano. Να θυμάστε ότι το .bashrc είναι ένα κρυφό αρχείο, δεν θα το δείτε κάνοντας την εντολή ls -l. Πρέπει να χρησιμοποιήσετε τη σημαία -a για να δείτε κρυφά αρχεία στο Linux.

# vi .bashrc

Προσθέστε την ακόλουθη ολόκληρη γραμμή στο κάτω μέρος του αρχείου. Φροντίστε να αντικαταστήσετε το \ServerName” με ένα όνομα κεντρικού υπολογιστή του διακομιστή σας και να αλλάξετε το \[email ” με μια διεύθυνση ηλεκτρονικού ταχυδρομείου σας.

echo 'ALERT - Root Shell Access (ServerName) on:' `date` `who` | mail -s "Alert: Root Access from `who | cut -d'(' -f2 | cut -d')' -f1`"

Αποθηκεύστε και κλείστε το αρχείο και αποσυνδεθείτε και συνδεθείτε ξανά. Μόλις συνδεθείτε μέσω SSH, ένα αρχείο .bashrc εκτελείται από προεπιλογή και σας στέλνει μια διεύθυνση email της ειδοποίησης σύνδεσης root.

Δείγμα ειδοποίησης μέσω email
ALERT - Root Shell Access (Database Replica) on: Thu Nov 28 16:59:40 IST 2013 tecmint pts/0 2013-11-28 16:59 (172.16.25.125)

Ρύθμιση ειδοποιήσεων email σύνδεσης χρήστη SSH Normal

Συνδεθείτε ως κανονικός χρήστης (tecmint) και μεταβείτε στον αρχικό κατάλογο του χρήστη πληκτρολογώντας την εντολή cd /home/tecmint/.

# cd /home/tecmint

Στη συνέχεια, ανοίξτε το αρχείο .bashrc και προσθέστε την ακόλουθη γραμμή στο τέλος του αρχείου. Φροντίστε να αντικαταστήσετε τις τιμές όπως φαίνεται παραπάνω.

echo 'ALERT - Root Shell Access (ServerName) on:' `date` `who` | mail -s "Alert: Root Access from `who | cut -d'(' -f2 | cut -d')' -f1`"

Αποθηκεύστε και κλείστε το αρχείο και αποσυνδεθείτε και συνδεθείτε ξανά. Μόλις συνδεθείτε ξανά, εκτελείται ένα αρχείο .bashrc και σας στέλνει μια διεύθυνση email της ειδοποίησης σύνδεσης χρήστη.

Με αυτόν τον τρόπο μπορείτε να ορίσετε μια ειδοποίηση μέσω email σε οποιονδήποτε χρήστη για να λαμβάνει ειδοποιήσεις σύνδεσης. Απλώς ανοίξτε το αρχείο .bashrc του χρήστη που θα πρέπει να βρίσκεται κάτω από τον αρχικό κατάλογο του χρήστη (δηλαδή /home/username/.bashrc) και ορίστε τις ειδοποιήσεις σύνδεσης όπως περιγράφεται παραπάνω.