關於直接 root 登入的警報

關於直接 root 登入的警報

我們不允許透過 ssh 直接 root 登錄,但顯然可以透過控制台存取。如果有人使用 root 透過控制台登錄,是否可以記錄直接 root 登入並傳送電子郵件或寫入日誌檔案?

我們使用Centos 5/6

答案1

Linux登入過程主要由聚丙烯醯胺(Linux 的可插入身份驗證模組)這是一套共用程式庫,使本機系統管理員能夠選擇應用程式如何對使用者進行身份驗證。

預設情況下,一些 PAM 訊息已記錄到系統日誌中,因此透過監視您可以觸發通知。具體來說,預設情況下會記錄登入事件/var/log/secure。您可以監視此文件以獲取警報。

或者你可以使用pam_exec作為成功登入事件的一部分執行特定的通知命令。

session [default=1 success=ignore] pam_succeed_if.so quiet uid = 0
session required pam_exec.so /usr/bin/wall "root has logged in!"

相關內容