如果你服务器被入侵了,该怎么做才能让自己第一时间知晓?
答案很多,其中一个方法是ssh登陆后发送报警信息给相关人员。
ssh远程登陆自身是可以设置提示消息的,比如sshd_config的Banner,不过本文描述另外方法,通过/etc/profile设置。
/etc/profile这个文件是每个用户登录时都会运行的环境变量设置,当用户第一次登录时,该文件被执行, 并从/etc/profile.d目录的配置文件中搜集shell的设置。
依此,我们写个shell脚本在每次远程登陆终端、复制终端时报警。
环境要求:
1. 安装jq、screen软件包: yum -y install jq screen
2. 部署脚本,比如/data/public/LoginAlert.sh
3. /etc/profile追加报警脚本:
比如 screen -fa -d -m -S WL sh /data/public/LoginAlert.sh(shell版本)
比如 screen -fa -d -m -S WL python /data/public/LoginAlert.py(python版本)
shell版本,LoginAlert.sh脚本内容如下:
python版本,LoginAlert.py脚本内容如下:
领取专属 10元无门槛券
私享最新 技术干货