Türspion
Vorhin blättere ich in der aktuellen Ausgabe des Linux Magazins und bin über einen Artikel von „Charly Kühnast“ gestolpert mit der Überschrift „Türspion“.
Hintergrund des Artikels ist eine super einfach aber effektive Benachrichtigungsmöglichkeit über eventuelle unberechtigte Loginversuche auf dem zu überwachenden Linux Server.
Bei den Systemen die ich überwache kommt es häufig vor das ich mich Wochenlang nicht anmelde. Falls es sich um solch ein System handelt und nicht gerade ein System welches täglich von mehreren dutzend Usern benutzt wird ist die Idee auch gar nicht schlecht.
Nach dem Motto „Was weg ist ist weg“ lässt schlägt er einfach vor bei jedem Login eines Nutzers folgenden Code ausführen zu lassen:
echo 'Login auf' `hostname` `date` `who` | mail -s "Login auf `hostname` `who | awk '{print $5}'`" <valide e-mailadresse>
Wobei <valide e-mailadresse> für eine beliebige Mailadresse steht. Hierbei wird eine e-mail mit entsprechendem Header, Timestamp und IP Adresse des Login Users versendet. Die Idee dabei ist natürlich das der eventuelle Einbrecher keine Möglichkeit hat diese Information zu verbergen da sie verschickt wird bevor er eine Shell zur Interaktion erhält.
Die Idee find ich persönlich klasse und werde sie auch auf dem ein oder anderen Server einsetzen. Auf Systemen zu denen eh nur ich Zugang habe sollten sich die Mails auch in Grenzen halten 😉
edit: Gerade gesehen, der Beitrag wurde sogar online gestellt. Hier der Link.
RSS Feed
Alle Beiträge unter CC–BY–SA 3.0 unported
Diese(s) Werk(e) bzw. Inhalt(e) von Thorsten Geister steht/stehen unter einer Creative Commons Namensnennung-Weitergabe unter gleichen Bedingungen 3.0 Unported Lizenz.
Beruht auf einem Inhalt unter linux-voodoo.de.