SSH Access mail senden?

[cybersonic]

Hallo..

Kennt jemand von euch ein programm der mir nach einem erfolgreichen einloggen via ssh oder auch ftp eine E-mail mit bestimmte daten wie IP, user usw.. an eine Bestimmte Adresse sendet?

/edit: Ich wollte nochmal betonen sofort nach dem erfolgreichen acces via ssh eine mail an mich senden, und nicht wie bei logwatch einmal pro tag bzw. mehr mal.

[lordy]

Ich sehe da zwei Möglichkeiten:

1) In /etc/profile einen entsprechenden Aufruf von Mail machen. Das setzt natürlich vorraus, das die Shell des Users diese auch ließt.

2) Ein kleines Wrapper-Script für die User-Shell, die zunächst mail aufruft und dann erst die eigentliche Shell startet.

[theomega]

3) Die LogDateien analyisieren (jede Minute oder so)
4) Den Auth.log im Syslog auf ein Program ausgeben das dann die Mails versendet.

[oxygen]

Einfacher und sicherer wäre es, das ganze über PAM zu machen.

[cybersonic]

hab mal das hier versucht, in die .bashrc einzufügen, klappt leider nicht? mein mail servr funktioniert eigendlich korrekt.

echo 'ALERT - Root Shell Access (YourserverName) on:' `date` `who` | mail -s "Alert: Root Access from `who | cut -d"(" -f2 | cut -d")" -f1`" you@yourdomain.com

[flo]

geht doch - wenn es nach der Pfad-Definition steht ... :-)

Aber: Die bashrc ist eh ein Script, ich mag solche schlanken Einzeiler ja, aber warum ohne Not so unübersichtlich?

flo.

[cybersonic]

klappt doch, aber leider nur mit root, nicht mit einem anderen user. Wahrscheinlich Problem mit den rechten?

nette mail:

ACHTUNG - Root Shell Access auf (blablabla.de) on: Do Aug 24
20:47:20 CEST 2006 User pts/0 Aug 24 20:32
(dslb-06666466-0668885-01881-0288881.pools.arcor-ip.net)

:-D

[elias5000]

klappt doch, aber leider nur mit root

Hast du es etwa in die .bashrc von root eingetragen? Das würde es erklären.
Wenn es für alle Benutzer ausgeführt werden soll, muss es nach /etc/profile

[cybersonic]

Hast du es etwa in die .bashrc von root eingetragen? Das würde es erklären.
Wenn es für alle Benutzer ausgeführt werden soll, muss es nach /etc/profile

Ja, habe es aber trotzdem mal auch in der .bashrc gelassen, weil mir aufgefallen ist ich sonst keine mail erhalten wenn via su mich zum root anmelde, das deckt das .bashrc nun ab. Jeder der mal ein Server einbruch erlebt hat, weiß wie schwer das die spuren zu finden, weil die Bösen Leute gute logcleaner benutzen die so gut wie alles auffällige in den /var/log entfernen. 100% sicherheit bringt das sicherlich nicht da es ja noch andere wege gibt wie bindshells usw. Aber ich denke einen guten Hinweiß bekommt man durch die mails schon. :oops:

[theomega]

aber die zieladresse sollte nicht auf dem server gehostet sein, sonst bringt es ja rein garnichts!

[frey]

Speicher das Skript als "/etc/ssh/sshrc" ab. Diese Datei wird vom SSHD beim jedem Login ausgeführt.

[jayc]

Speicher das Skript als "/etc/ssh/sshrc" ab. Diese Datei wird vom SSHD beim jedem Login ausgeführt.

cool - und schon wieder was dazu gelernt ... ;-)