5
Debian 8, SSH Logging, Popuser-Meldung und rkhunter Problem
Guten Morgen,
ich habe einen kleinen Linux Server mit Debian 8.
Ich habe für SSH den Port geändert und das Login für den Benutzer "root" gesperrt und auch die Passwortauthentifizierung ausgeschaltet, SSH-Login nur über authorized_keys möglich. Das funktioniert soweit auch gut, zusätzlich bekomme ich mit folgendem Script:
und
eine Benachrichtigung, wenn sich ein Benutzer per SSH anmeldet.
Nun zum Problem, ich bekomme regelmäßig Nachrichten, dass sich der Benutzer "popuser" anmeldet. Soweit auch nicht schlimm, aber kann ich diesen Benutzer aus dem Script oben ausschließen? Im Netz hatte ich nichts weiter gefunden, nur ein Verweis auf "PAM". Vielleicht könnt ihr mir noch weiter helfen.
Ich nutze den Thread auch mal für ein weiteres "Problem". Ich habe auf dem Server rkhunter installiert, dieser bemängelt aber immer den laufenden xinetd-Service. Ich bekomme den Fehler auch nicht behoben, diese Anleitung hatte ich mal versucht: rkhunter xinetd
Vielleicht habt ihr da auch noch eine Lösung
Vielen Dank.
Gruß
Toni
ich habe einen kleinen Linux Server mit Debian 8.
Ich habe für SSH den Port geändert und das Login für den Benutzer "root" gesperrt und auch die Passwortauthentifizierung ausgeschaltet, SSH-Login nur über authorized_keys möglich. Das funktioniert soweit auch gut, zusätzlich bekomme ich mit folgendem Script:
#!/bin/bash
echo "Login auf $(hostname) am $(date +%Y-%m-%d) um $(date +%H:%M)"
echo "Benutzer: $USER"
echound
/opt/shell-login.sh | mailx -s "SSH Login auf IHR-HOSTNAME" ihre-emailadresse@example.com eine Benachrichtigung, wenn sich ein Benutzer per SSH anmeldet.
Nun zum Problem, ich bekomme regelmäßig Nachrichten, dass sich der Benutzer "popuser" anmeldet. Soweit auch nicht schlimm, aber kann ich diesen Benutzer aus dem Script oben ausschließen? Im Netz hatte ich nichts weiter gefunden, nur ein Verweis auf "PAM". Vielleicht könnt ihr mir noch weiter helfen.
Ich nutze den Thread auch mal für ein weiteres "Problem". Ich habe auf dem Server rkhunter installiert, dieser bemängelt aber immer den laufenden xinetd-Service. Ich bekomme den Fehler auch nicht behoben, diese Anleitung hatte ich mal versucht: rkhunter xinetd
Vielleicht habt ihr da auch noch eine Lösung
Vielen Dank.
Gruß
Toni
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 304056
Url: https://administrator.de/contentid/304056
Ausgedruckt am: 22.11.2024 um 08:11 Uhr
5 Kommentare
Neuester Kommentar
Guten Morgen der Herr
Du kannst das Script ja anhand des User ausführen lassen oder nicht.
An dieser Stelle wird das Script OHNE Fehler beendet. Es könnte also vor der
Zum zweitem Problem kann ich nichts sagen, derzeit kenne ich
~Arano
Du kannst das Script ja anhand des User ausführen lassen oder nicht.
if [ $USER == "popuser" ]; then exit 0; fi mailx-Zeile stehen.Zum zweitem Problem kann ich nichts sagen, derzeit kenne ich
rkhunter nicht~Arano
Moin
Dank dir, ich habe das Script mal in eine IF-Schleife gepackt, da danach noch andere Scripts ausgeführt werden.
Ganze sieht nun so aus:
hoffe ist so richtig?
Gruß Toni
Dank dir, ich habe das Script mal in eine IF-Schleife gepackt, da danach noch andere Scripts ausgeführt werden.
Ganze sieht nun so aus:
if [ $USER == "popuser" ];
then exit 0;
else /opt/shell-login.sh | mailx -s "SSH Login auf IHR-HOSTNAME" ihre-emailadresse@example.com
fiGruß Toni
Hi Toni.
Zu der letzten Frage aus dem Beitrag.
Ja so ist das richtig. Jetzt habe ich das auch bei mir getestet.
Warum du nun allerdings von "popuser" doch noch Nachrichten erhältst verstehe ich aber nicht.
Das habe ich gerade in meiner "~/.bashrc" stehen.
Logge ich mich im Terminal per "ssh arano@localhost" noch mal ein, bekomme ich das "Hallo Welt".
Ändere ich meinen Namen im Script auf "Buchstabensalat", bekomme ich ne Mail.
Funktioniert !
An welcher Stelle bindest du das denn in den Login ein ?
Müsste ja eine globale Stelle sein damit das für alle User gleichermaßen aufgerufen wird... da fällt mir gerade keine ein.
~Tobias
Zu der letzten Frage aus dem Beitrag.
Ja so ist das richtig. Jetzt habe ich das auch bei mir getestet.
Warum du nun allerdings von "popuser" doch noch Nachrichten erhältst verstehe ich aber nicht.
if [ $USER == "arano" ];
then echo "Hallo Welt !";
else echo "who are you !" | mailx -s "login von $USER" arano@localhost
fiLogge ich mich im Terminal per "ssh arano@localhost" noch mal ein, bekomme ich das "Hallo Welt".
Ändere ich meinen Namen im Script auf "Buchstabensalat", bekomme ich ne Mail.
Funktioniert !
An welcher Stelle bindest du das denn in den Login ein ?
Müsste ja eine globale Stelle sein damit das für alle User gleichermaßen aufgerufen wird... da fällt mir gerade keine ein.
~Tobias
Moin Tobi,
vielen Dank.
Ich bin dieser Anleitung hier gefolgt:
https://www.thomas-krenn.com/de/wiki/Absicherung_eines_Debian_Servers
Gruß
Toni
vielen Dank.
Ich bin dieser Anleitung hier gefolgt:
https://www.thomas-krenn.com/de/wiki/Absicherung_eines_Debian_Servers
Gruß
Toni
Hey, Abend.
Nein, es erschließt sich mir leider nicht warum das noch nicht funktioniert.
Hast du das mal mit einem anderem User getestet ob es überhaupt eine Wirkung hat ?
Was ich jetzt gerade sehe. In /etc/profile steht ja etwas ähnliches, nur das dort nicht
Demnach dann vielleicht in einer kürzeren Variante, Mail wird versand wenn es nicht User 123 ist:
mit "
Ansonsten ist hier noch eine Möglichkeit
https://debianforum.de/forum/viewtopic.php?f=37&t=151643
Sorry, aber hier müsste ich jetzt auch herum friemeln und ausprobieren.
~Arano
Nein, es erschließt sich mir leider nicht warum das noch nicht funktioniert.
Hast du das mal mit einem anderem User getestet ob es überhaupt eine Wirkung hat ?
Was ich jetzt gerade sehe. In /etc/profile steht ja etwas ähnliches, nur das dort nicht
$USER verwendet wird, sondern "id -u" also die UserID.Demnach dann vielleicht in einer kürzeren Variante, Mail wird versand wenn es nicht User 123 ist:
if [ "`id -u`" -nq 123 ]; then
/opt/script.sh | mailx ...
fiid -u popuser" bekommst du die ID die du dann anstelle von "123" einträgst.Ansonsten ist hier noch eine Möglichkeit
[ -n "$SSH_CLIENT"] drinn und auch zwei andere Ansätze (sshrc, PAM)https://debianforum.de/forum/viewtopic.php?f=37&t=151643
Sorry, aber hier müsste ich jetzt auch herum friemeln und ausprobieren.
~Arano
