Durante algún tiempo tuve la interrogante de como saber si alguien más estaba accediendo remotamente a mis servidores y de suceder esto, también saber cuando ocurría. Se que existen varias herramientas de detección de intrusos y monitoreo, pero siempre creí que era demasiado aparataje para una tarea simple. Ademas quienes accedían habitualmente eran colegas de trabajo y yo solo quería mantener un registro simple de ello sin tener que filtrar logs, solo mirando mi email.

Esta tarea se me hizo relativamente fácil al utilizar algunas funcionalidades propias del sistema de manera combinada. Esta solución permite notificar cada vez que ocurre una autenticación a un servidor por ssh usando un usuario especifico, en mi caso root (si!!! ya se que no es lo más recomendable pero esa era la política de acceso).

Vamos a explicar como implementar esta solución para Debian sin embargo puede ser utilizada en otras distros de GNU/Linux.

Muy importante tener habilitado el envío de email desde el servidor, de lo contrario las notificaciones no nos llegaran.

Con nuestro editor de texto de preferencia

$ vim ~/.bashrc

Al final del fichero adicionamos la siguiente linea

echo 'ALERTA: Usuario [usuario] ingreso al [servidor] el:' `date` `who` | mail -s "Alerta: Ingreso de usuario desde `who | cut -d'(' -f2 | cut -d')' -f1`" mi_email@midominio.co

OJO: Todo en una sola linea

Debemos reemplazar [usuario] –> Por el usuario que queremos monitorear (en mi caso root) [servidor] –> Por la dirección IP o nombre del servidor que queremos monitorear mi_email@midominio.com –> Emaill de destino donde llegarán las notificaciones



Guardamos y cerramos el fichero.

Qué es lo que esta sucediendo?:

Cuando un usuario acceda a nuestro servidor usando ssh, el sistema leerá el fichero .bashrc, esta acción ejecutara la linea que hemos adicionado enviándonos la notificación.

Importante resaltar que la linea que adicionamos puede ser personalizada a libertad. En caso que aun no sepas como configurar un servidor de correo local te recomiendo usar msmtp de quien estaré hablando en un próximo post. Otra solución mas elaborada y flexible, pero igual de simple seria usar Sagan.

Hasta aquí todo por hoy… 😉

¿Te resultó interesante? Compártelo ... Google+ facebook twitter pinterest linkedin delicious reddit tumblr Whatsapp Imprimir

Artículos relacionados con lo que acabas de leer: ¡Lo sentimos, no hay artículos relacionados con este!