Durante algún tiempo tuve la interrogante de como saber si alguien más estaba accediendo remotamente a mis servidores y de suceder esto, también saber cuando ocurría. Se que existen varias herramientas de detección de intrusos y monitoreo, pero siempre creí que era demasiado aparataje para una tarea simple. Ademas quienes accedían habitualmente eran colegas de trabajo y yo solo quería mantener un registro simple de ello sin tener que filtrar logs, solo mirando mi email.
Esta tarea se me hizo relativamente fácil al utilizar algunas funcionalidades propias del sistema de manera combinada. Esta solución permite notificar cada vez que ocurre una autenticación a un servidor por ssh usando un usuario especifico, en mi caso root (si!!! ya se que no es lo más recomendable pero esa era la política de acceso).
Vamos a explicar como implementar esta solución para Debian sin embargo puede ser utilizada en otras distros de GNU/Linux.
Muy importante tener habilitado el envío de email desde el servidor, de lo contrario las notificaciones no nos llegaran.
Con nuestro editor de texto de preferencia
$ vim ~/.bashrc
Al final del fichero adicionamos la siguiente linea
echo 'ALERTA: Usuario [usuario] ingreso al [servidor] el:' `date` `who` | mail -s "Alerta: Ingreso de usuario desde `who | cut -d'(' -f2 | cut -d')' -f1`" mi_email@midominio.co
OJO: Todo en una sola linea
- Debemos reemplazar
- [usuario] –> Por el usuario que queremos monitorear (en mi caso root)
- [servidor] –> Por la dirección IP o nombre del servidor que queremos monitorear
- mi_email@midominio.com –> Emaill de destino donde llegarán las notificaciones
Guardamos y cerramos el fichero.
Qué es lo que esta sucediendo?:
Cuando un usuario acceda a nuestro servidor usando ssh, el sistema leerá el fichero .bashrc, esta acción ejecutara la linea que hemos adicionado enviándonos la notificación.
Importante resaltar que la linea que adicionamos puede ser personalizada a libertad.
En caso que aun no sepas como configurar un servidor de correo local te recomiendo usar msmtp de quien estaré hablando en un próximo post.
Otra solución mas elaborada y flexible, pero igual de simple seria usar Sagan.
Hasta aquí todo por hoy… 😉
¿Te resultó interesante? Compártelo ...
Buena esa! ¿Pudiera hacerse también para cuando alguien «intenta» acceder pero no lo consigue? Lo más seguro es que ya no con el .bashrc, pero tal vez de otra forma… registrando el IP y enviando igualmente por correo…
Si, pero para eso es necesario monitorear los logs. En otro post voy a explicar como hacerlo de un modo sencillo son Sagan.