Ich habe auf meinen Servern einen Türspion eingebaut, damit ich informiert werde, wenn sich jemand auf meinen Servern einloggt. Zum Glück bin ich es selbst.


Aber wenn es jemand mal schaffen sollte auf meinen Servern einzudringen, werde ich umgehend per E-Mail benachrichtigt. Der Angreifer hat damit keine Chance seine Einbruchsspuren zu verwischen.


In der systemweiten bashrc wird folgender Einzeiler eingetragen:



echo -e "Login of `whoami` on `hostname` 
`date`\n`who`"| mail -s "Login of `whoami` 
on `hostname` `who | awk '{print $5}'`" e-mail@an-mich.de



Quelle: Linux Magazin 07/10 und 08/10

2 Kommentare

Linear

  • Anonym  
    Bei mir(debian sid) wird standardmaessig die dash genommen, die nur /etc/profile auswertet.

    Da auf dem Server immer noch mein screen mit ein paar Logins laeuft hab ich n bisschen am Layout geschraubt:

    echo "Login on: `hostname` `date` `who`" | mail -s "Login on: `hostname` `last | head -n 1 | awk '{print $2}'`" root@localhost

    macht aus dem Einzeiler:
    Subject: Login on 00:34 00:36 23:00 12:35 13:14 20:25
    Login on Tue Sep 7 13:14:32 CEST 2010 xyz pts/0 Aug 20 00:34 (:22.0) c pts/2 Aug 21 00:36 (:22.0) xyz pts/1 May 9 23:00 (:S.0) xyz pts/3 Apr 10 12:35 (:S.2) xyz pts/5 Sep 7 13:14 (.adsl.alicedsl.de) xyz pts/8 Aug 17 20:25 (:S.1)i


    Subject: Login on: pv462.ncsrv.de pts/5
    Login on: Tue Sep 7 13:21:32 CEST 2010 xyz pts/0 Aug 20 00:34 (:22.0)
    xyz pts/2 Aug 21 00:36 (:22.0)
    xyz pts/1 May 9 23:00 (v:S.0)
    xyz pts/3 Apr 10 12:35 (:S.2)
    xyz pts/5 Sep 7 13:21 (.adsl.alicedsl.de)
    xyz pts/8 Aug 17 20:25 (:S.1)
    • Marc Rische  
      So geht es natürlich auch. Je kürzer, desto besser.

Kommentar schreiben

Umschließende Sterne heben ein Wort hervor (*wort*), per _wort_ kann ein Wort unterstrichen werden.
Standard-Text Smilies wie :-) und ;-) werden zu Bildern konvertiert.
Die angegebene E-Mail-Adresse wird nicht dargestellt, sondern nur für eventuelle Benachrichtigungen verwendet.

Um maschinelle und automatische Übertragung von Spamkommentaren zu verhindern, bitte die Zeichenfolge im dargestellten Bild in der Eingabemaske eintragen. Nur wenn die Zeichenfolge richtig eingegeben wurde, kann der Kommentar angenommen werden. Bitte beachten Sie, dass Ihr Browser Cookies unterstützen muss, um dieses Verfahren anzuwenden.
CAPTCHA