Задача: нужно в максимально короткий срок узнать, зашел ли кто под пользователем root на сервер, от какого пользователя была запущена команда su и какой IP посмел такое сделать.
Проверка каждого пользователя
По сути, все просто, если у вас работает Postfix или любой другой почтовик. Все, что вам нужно, это добавить в конец файла
/root/.bash_profile
следующую строку:
1
| |
Советую заранее протестировать эту строчку, просто выполнив её. На почту должно прийти сообщение примерно такого вида:
1
| |
Эту же строчку можно добавить всем пользователям, которые имеют доступ на сервер по SSH
Проверка для всех пользователей
Этот вариант стоит использовать, если важно получать сообщения о каждом зарегистрировавшемся пользователе. Для этого строчку
echo ‘ALERT - Root Shell Access on:’
datewho| mail -s “Alert: Root Access fromwho | cut -d"(" -f2 | cut -d")" -f1” user@wikiadmin.net
мы добавляем в конец файла ‘’‘/etc/profile’‘’. Теперь каждый раз, как какой-либо пользователь пройдет аутентификацию на сервере, вы сможете получить об этом сообщение.