Ubuntu - Notificationen

Bash

Bash

New Member
Ubuntu - eMail-Benachrichtigung bei Login

Hallo,

in diesem Thread wollte ich euch einmal fragen ob es möglich ist Ubuntu das kommunzieren über eMail beibringen kann.
Ich würde gern eine eMail erhalten wenn sich Jemand auf dem Server einloggt oder es zumindest versucht hat.

Dabei würde ich mich bereits mit folgenden Daten zufrieden geben:

Username | IP | Zeit und Datum der Anmeldung

Distru: Ubuntu 10.04 Lucid LTS


Desweiteren wollte ich auch noch fragen inwiefern Ihr dieses Vorhaben als Sinnvoll erachtet. Meine Überlegung dabei ist eigentlich nur folgende:

Sollte sich Jemand auf dem Server einloggen oder es zumindest versuchen kann ich schnellstmöglich darauf reagieren, das System absichern, einen Profi konsultieren oder den Server kurzzeitig beschränken und eventuell auftretene Schäden zu vermeiden.

Nein, ich bin nicht paranoid, hoffe ich zumindest. :rolleyes:


Gruß Bash
 
Last edited by a moderator:
Du schreibst Dir einfach in Deine .profile folgendes:
Code: 
echo 'ALERT - Root Shell Access on:' `date` `who` | mail -s "Alert: Root Access from `who | cut -d"(" -f2 | cut -d")" -f1`" deine@mail.tld

"deine@mail.tld" ÄNDERN!

Ausloggen + Einloggen und mail abholen.
 
Wenn schon, dann bitte so:
Code: 
echo 'ALERT - Root Shell Access on:' $(date) $(who) | mail -s "Alert: Root Access from $(who | cut -d"(" -f2 | cut -d")" -f1)" deine@mail.tld

Backticks sind seit einiger Zeit deprecated.
 
Vielen Dank für die schnelle Hilfe, die Methode von wstuermer hat wunderbar funktioniert. Nach jedem Login versendet er instant eine eMail. Top !

Bei der Lösung von OldSwede hat er mir leider einen Syntax Error ausgegeben, doch bevor ich den Spaß checken und reparieren konnte hab ich die neue Antwort hier im Thread gesehen. und direkt noch einmal umgesetzt.


Eine Frage hätt ich diesbezüglich aber noch, kann man den Spaß noch ein wenig ausbauen dass er mir auch fehlgeschlagene Logins emailt ?


Gruß Bash
 
Eine Frage hätt ich diesbezüglich aber noch, kann man den Spaß noch ein wenig ausbauen dass er mir auch fehlgeschlagene Logins emailt ?
Click to expand...
.profile wird erst nach dem Login ausgefuehrt somit ist dein Wunsch nicht damit moeglich.
fail2ban beherrscht allerdings die Funktion, meldet afaik aber nur wenn er bannt - ansonsten wuerdest du auch wortwoertlich von Emails ueberflutet was man als "Grundrauschen des Internet" betitelt; jeder Server ist staendig bruteforce-Angriffen und aehnlichem ausgesetzt ;)
 
Alles klar, wenn das der Fall sein sollte werde ich es wohl beim erfolgreichen einloggen belassen.

Wobei es sicher auch eine alternative zum langweiligen Briefmarken sammeln wäre... dann halt in Forum von eMail und fehlerhaften Einlogversuchen.:rolleyes:


Also, an dieser Stelle noch einmal vielen Dank für die schnelle und kompetente Hilfe!


Gruß Bash
 
fail2ban zu installieren ist aber auch ohne email-logging sehr empfehlenswert ;)

Wobei es sicher auch eine alternative zum langweiligen Briefmarken sammeln wäre
Click to expand...
Naja ich zumindest will nicht nach hause kommen (ins Emailpostfach einloggen) und sehen dass meine Briefmarkensammlung das ganze Gelaende (die Inbox) verstopft so dass ich gezwungen bin die Marken mittels Schneeschaufel in den Abfallcontainer zu werfen ;)
 
fail2ban werd ich mir auch noch einmal genauer ansehen, vielen dank für den Tipp.

Gruß Bash
 
Last edited by a moderator:
d4f said:
fail2ban beherrscht allerdings die Funktion, meldet afaik aber nur wenn er bannt
Click to expand...
Nicht ganz korrekt. Jede "jail" kann ein beliebige "action" ausführen. Dies muss nicht zwangsweise der Aufruf von iptables sein. Von daher kann man in fail2ban eine jail aufsetzten, die bei jedem Fehlversuch eine Email verschickt.

Aber wie schon oben gesagt: Es wird schnell langweilig diese vielen Emails weg zu klicken... ;)

huschi.
 
Ich hab mir jetzt fail2ban ein wenig genauer angesehen, ein wenig mit Bekannten gesprochen die sich beruflich mit der Materie beschäftigen und wir sind zum Entschluss gekommen das fail2ban im Ansatz ganz nett ist aber wohl noch einige Macken hat. Es soll beispielsweise ganz gern mal unter DOS ein wenig durcheinander kommen können.

Als Alternative habe ich dann "knockd" endeckt dass den Port 22 dicht macht und erst öffnet nachdem man per knock an 3 verschiedene, zufällig gewählte, ports anklopft. Dann öffnet sich, soweit ich das jetzt richtig gelesen habe, für 10 Minuten ein Zeitfenster dass es mir erlaubt auf Port 22 per SSH zu verbinden.

Infiefern diese Lösung Gut oder Schlecht ist kann ich aber noch nicht abschätzen da ich mich da noch ein wenig einlesen will.

Lieber ein wenig mehr lesen bevor ich da Dinge auf den Root ziehe die am Ende vielleicht wenig bringen oder mich dann sogar aussperren wenn ich nen Fehler einbaue.


Gruß Bash
 
Um mal auf die eigentliche Frage zu kommen:
Bash said:
Nein, ich bin nicht paranoid, hoffe ich zumindest. :rolleyes:
Click to expand...
In gewisser Weise: Doch! :D

Es gibt viele schöne Methoden. Da knockd bereits keine Standard-Konfiguration ist, würde ich dann schon eher auf die einfachere Art wechseln: Den SSH-Port auf einen X-Beliebigen Port setzten.
Weitaus unkomplizierter und genauso effektiv.

huschi.
 
Nach einem Portscan sollte doch aber der SSH Port endeckt werden können oder?

Und wer gern auf einen Root möchte scannt doch i.d.R. die Ports?


Zudem, ich musste mir oft genug durchlesen das man doch bitte keinen Root mieten sollte wenn man nicht für die Sicherheit auf dem Rootserver sorgt, jetzt will ich dafür sorgen und so wirklich das Richtige scheint es auch nicht zu sein. Entscheidet euch doch mal. :p
 
Bash said:
Und wer gern auf einen Root möchte scannt doch i.d.R. die Ports?
Click to expand...
Ja, Du must noch viel viel viel lesen.... ;)
Die meisten Angriffe sind nicht gezielt sondern gehen mehr oder weniger planlos drauf los.
Und zwar immer auf den Standard-Port...

Entscheidet euch doch mal. :p
Click to expand...
Ähhhh, wir??? Dann hast Du einen elementaren Teil von einem "eigenen Server" nicht ganz verstanden. :D

huschi.
 
Huschi said:
Ähhhh, wir??? Dann hast Du einen elementaren Teil von einem "eigenen Server" nicht ganz verstanden. :D
Click to expand...

Doch doch, den elementaren Teil habe ich schon verstanden.

Für meine 15 Besucher die ich täglich habe einen völlig überteuerten Rootserver mieten der sich ausgezeichnet als Viagra-Spam Schleuder eignet um den digitalen Untergrund mit meiner Unwissenheit zu unterstützen... oder so ähnlich? Jedenfalls so in der Art. :p

Also, ich hab mich jetzt auch für eine einfache SSH Port Änderung entschieden, einfach und Effektiv um zumindest die automatsierten Scripts ein wenig ab zu halten.

Gruß Bash


P.S. Falls euch noch etwas einfällt was dringend auf der "Must Have" Liste stehen sollte, lasst es mich ruhig wissen. Ansonsten beschäftige ich mich jetzt vorerst mit dem eigenentlichen Inhalt des Projekts. :rolleyes:
 
Bash said:
... Rootserver mieten der sich ausgezeichnet als Viagra-Spam Schleuder eignet ... oder so ähnlich? Jedenfalls so in der Art. :p
...
Ansonsten beschäftige ich mich jetzt vorerst mit dem eigenentlichen Inhalt des Projekts. :rolleyes:
Click to expand...

Wie? Du willst noch mehr als "nur" Viagra-Plagiate (oder heißt das ab jetzt "zu Gutenberg" ?) verticken? :eek:

Wenn nicht ist das Projekt doch schon ferig. :D
 
Wie wäre es, einfach SSH-KeyAuth zu verwenden und Passwort-Auth zu verbieten.
Das finde ich persönlich besser als so ziemlich alles, was hier bisher besprochen wurde.

OpenSSH ist vermutlich das am meisten peerreviewte Stück Software auf diesem Planeten. Wenn man nicht gerade Debian vertraut, ist man damit so sicher, dass man sich direkt an die anderen auf der Kiste laufenden Daemons machen kann.

Wenn du jeden einzelnen Aspekt des Servers in dieser Ausführlichkeit hier besprichst, dann bist du mit der Kiste in zwei Jahren noch nicht fertig... ;)
 
SSH-KeyAuth ist ja im grunde nicht schlecht, selbst wenn die automatisierten Scanner den SSH Port finden (was ja kein großes Problem darstellt) würden sie mit einem bloßen Brutforce nichts anfangen können.

Doch wenn Jemand gezielt auf meine Möhre möchte könnte er einfach den SSH Port sniffen und dann so in Besitz des Keys kommen oder?

Ich glaube ich setze am völlig falschen Punkt an. Ich wollte meine Möhre zu einer kleinen Festung machen, auf der automatisierte und gezielte Hacks so gut wie keine Chance haben. Doch das ist ein Kampf gegen Windmühlen, Lücken gibt es immer, Möglichkeiten in Massen, auch wenn ich jetzt meinen SSH Kanal vollständig absicher gibt es, wie schon angesprochen, immer genügend anderer Wege meine Hochleistungsmaschine (lach) zu kapern.

Da es keine Probleme bereitet, werde ich den geänderten Port beibehalten, und mich noch einmal über SSH-AUTH informieren, auch wenn mir diverse Leute davon, aufgrund von schlechten Erfahrungen mit Eindringlingen, abraten.


Gruß Bash
 
You must log in or register to reply here.
Back
Top