eMail bei SSH-Login

[ssambdar]

Hallo zusammen, um meinen Server ein wenig abzusichern, möchte ich gerne folgede Idee realisieren:

Wenn sich ein User per SSH einloggt, soll eine eMail mit Username, Uhrzeit und IP an eine bestimmte eMail-Adresse gesendet werden.

Noch besser wäre es, wenn ich schon eine Mail bei einem Login-Versuch generieren könnte. Damit ich also auch direkt fehlerhafte Logins zugeschickt bekomme.

Frage: Wie kann ich das realisieren bzw. wo kann ich diese Ereignisse (Login, Loginversuch) abfangen, um mir eigene Scripts zu basteln?

Infos für diejenigen, deren Glaskugel defekt ist:

- SuSE 9.0 bzw. Debian Woody (würde das gerne auf beiden benutzen)

- "standard" SSH Zugang (Das, was halt bei den Distis dabei ist)

[taschentoast]

Hallo zusammen, um meinen Server ein wenig abzusichern, möchte ich gerne folgede Idee realisieren:

Wenn sich ein User per SSH einloggt, soll eine eMail mit Username, Uhrzeit und IP an eine bestimmte eMail-Adresse gesendet werden.

Noch besser wäre es, wenn ich schon eine Mail bei einem Login-Versuch generieren könnte. Damit ich also auch direkt fehlerhafte Logins zugeschickt bekomme.

Das willst du nicht. Neineinein

Nicht, wenn wie zur Zeit Bots durchs Netz schwirren, die überall ssh-logins versuchen.

Jaaaa, 200-300 Login-Versuche + mail pro Minute sind möglich. Kein Spaß.

Ein fehlerhafter login wäre mir nichtmal eine Logmeldung wert, wenn diese Bedingungen gegeben sind:

Ich habe Kontrolle über den Server, aktueller ssh-Server ohne Lücken, nur public-key auth, kein root-login möglich.

Ansonsten evtl eine syslog-meldung bei fehlerhaftem root-login.

Wenn für erfolgreiche Logins eine Mail willst, spiel doch mal ein wenig mit der .profile des users rum, da kannst du Skripte ausführen lassen.

Wenn du sonst was zu Absicherung von Servern wissen willst, frag einfach

viel Erfolg

taschentoast

[Nachtgeist]

Wenn du deinen Server absichern willst, solltest du dich nicht mit den (relativ) sicherem SSH aufhalten, sondern dir Gedanken ueber die (Konfiguration der) restliche Software machen.

[ssambdar]

Wenn du deinen Server absichern willst, solltest du [...] dir Gedanken ueber die (Konfiguration der) restliche Software machen.

Glaube mir, die restliche Software wird auf dem laufenden gehalten. Aber ich bin nicht der einzige, der Zugriff auf diesen Server hat. Aber für die paar Zugriffe im Monat per SSH möchte ich Informiert sein. Einfach nur aus dem Grund, dass ich bei einem Bekannten mitbekommen habe, dass da schon lange jemand Shell-Zugriff hatte, aber keiner hats bemerkt.

Mit den .profiles ist bestimmt eine gute idee. Müsste ich mal schauen, was da machbar ist. Allerdings interessiert mich trotzdem die Variante, mit einem Scriptaufruf bei Login-Versuch. Natürlich wäre dann ein Mailversand nicht die richtige Lösung. Aber ich habe auch die Möglichkeit die Ausgabe des Scriptes auf einen Nadeldrucker umzuleiten. Da könnte man so etwas sicher mitschreiben. Jedenfalls könnte ein potentieller Angreifer das "Log" nicht löschen.

Also, über einen Lösungsansatz für diese Variante wäre ich dankbar.

[Schlaubi]

Hi,

also du kannst das ganze natürlich bis aufs kleineste Detail verfeinern,

aber im Prinzip würde schon ein 'echo' langen.

Sschreib einfach folgendes in die .profile deines Users 'xy':

 user=xy; echo "$(date)    : user '$user' logged in." | a2ps -R --columns=1 -f 7

Entweder du übergibst es dem Printer wie in diesem Fall oder du pipest es

in mail. Natürlich kannst du es dir auch in ein Logfile schreiben mit ">>$LOGFILE". Wenn du den root-Abprüfen willst, dann müsstest du auch noch die IP herausbekommen, damits dir was bringt - dafür schau dir mal den Befehl 'who' an.

Übrigens wer zuletzt auf dem System war kannst du auch mit 'last' feststellen.

[Nachtgeist]

Mit den .profiles ist bestimmt eine gute idee.

Du willst die /etc/profile benutzen.

Da koennen die User naemlich nicht drinn rumruehren ...

[ssambdar]

Das mit der /etc/profile habe ich auch vor. Hat denn noch jemand hier einen Tipp, ob es möglich ist, auch schon einen Loginversuch (auch die erfolglosen) mitzuloggen?

[Nachtgeist]

Sowas steht in /var/log/authlog und sie ca. so aus:

sshd[13735]: Failed password for root from xxx.xxx.xxx.xxx port 4649 ssh2

Das hat man bei einer Kiste, die am Internet haengt ca. 200mal am Tag. Das willst du sicher nicht jedes mal nachverfolgen.

[ssambdar]

Das hat man bei einer Kiste, die am Internet haengt ca. 200mal am Tag. Das willst du sicher nicht jedes mal nachverfolgen.

Hätte ich sonst gefragt? Ich habe das schon ernsthaft vor. Nur halt nicht per Mail. Es geht hier halt um einen wichtigen Server im Internet, wo ich auch mit ein paar Hundert Meldungen am Tag leben kann.

[Nachtgeist]

Mein Chef wuerde mich totpruegeln, wenn ich meine Arbeitszeit mit sowas verschwenden wuerde.

Sinnvoll waere es wohl, einen logwatcher auf das authlog anzusetzen, der dir mehrere Fehlversuche von einer Quelle aus zusammenfasst. (z.B. in einem neuen Logfile) Damit drueckst du die Anzahl der Meldungen wenigstens auf a) die Relevanten und auf eine ertraegliche Menge.

[ssambdar]

Moment... die Daten sollen erst einmal durch ein Script laufen, um gefiltert zu werden. Das Ergebnis soll dann grafisch auf einer Statistikseite ausgegeben werden.

Siehe dazu auch meine neue Frage: Syslog Ausgabe an Script