Wir erlauben keine direkten Root-Logins über SSH, aber natürlich über den Konsolenzugriff. Ist es möglich, direkte Root-Logins zu protokollieren und ggf. eine E-Mail zu senden oder in eine Protokolldatei zu schreiben, wenn sich jemand über die Konsole als Root anmeldet?
Wir verwenden Centos 5/6
Antwort1
Der Linux-Anmeldevorgang wird hauptsächlich gesteuert durchPAM(Pluggable Authentication Modules for Linux) ist eine Suite gemeinsam genutzter Bibliotheken, die es dem lokalen Systemadministrator ermöglichen, auszuwählen, wie Anwendungen Benutzer authentifizieren.
Standardmäßig werden einige PAM-Nachrichten bereits in Syslog protokolliert, sodass Sie durch die Überwachung Benachrichtigungen auslösen können. Insbesondere Anmeldeereignisse werden /var/log/securestandardmäßig protokolliert. Sie können diese Datei auf Ihre Warnungen überwachen.
Alternativ können Siepam_execum im Rahmen eines erfolgreichen Anmeldeereignisses einen bestimmten Benachrichtigungsbefehl ausführen zu lassen.
session [default=1 success=ignore] pam_succeed_if.so quiet uid = 0
session required pam_exec.so /usr/bin/wall "root has logged in!"