debian | Einbruchsdetektierung

Ich weiß gar nicht so recht, wie ich darüber gestolpert bin, aber es ist schon einige Zeit her, dass ich folgenden Vorschlag des Linux-Magazins auf meinen Servern umgesetzt habe. Auch wenn ich den Titel des Artikels „Türspion“ etwas unpassend finde, da ich ja nicht über einen Einbrecher vor der Tür informiert werden, sondern wenn er bereits schon im System ist, so fand ich die Idee doch recht charmant. Es geht um die automatische Benachrichtigung des Systems bei einem Einbruch in meine Server. Das Problem besteht ja darin, dass ein Einbrecher, nachdem er in das System eingedrungen ist, natürlich versucht alle Spuren zu verwischen. Deswegen muß eine Detektierung so zeitig wie möglich nach dem Einloggen erfolgen. Zu weiteren Infos verweise ich auf den Artikel im Linux-Magazin.
Um diese Detektierung zu realisieren habe ich den Vorschlag übernommen und folgende Befehlszeile in die /etc/bash.bashrc eingetragen:

# Login-Mails
echo 'Login on' `hostname` `date` `who`| mail -s "Login on `hostname` `who | awk '{print $5}'`" hostmaster@controlc.de

Dummerweise wird aber die Login-Mail nicht nur beim Einloggen per SSH in den Server generiert, sondern auch, wenn ich meinen bevorzugten Dateimanager midnight commander (mc) starte, da mc eine eigene Shell-Instanz benutzt.

Deswegen habe ich die Codezeile etwas erweitert, so dass beim Aufrufen von mc keine Loginmail verschickt wird.

# Login-Mails
if [ $(ps -ocommand= -p $PPID | awk -F/ '{print $NF}' | awk '{print $1}') != mc ]; then
    echo 'Login on' `hostname` `date` `who`| mail -s "Login on `hostname` `who | awk '{print $5}'`" hostmaster@controlc.de
fi

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.