E-Mail Info bei SSH Login

Hinweis: In dem Thema E-Mail Info bei SSH Login gibt es 6 Antworten. Der letzte Beitrag () befindet sich ganz unten auf dieser Seite.
  • Hallo,


    ich habe in /etc/bash.bashrc.local folgende Zeilen, um mich über Logins informieren zu lassen:


    Code
    WHO_AKTUELL=`who -m | /usr/bin/awk '{print $6}'`
    echo 'Login on' `hostname` `date` `who -m` | \
    mail -s "Login auf `hostname` (cs07) von $WHO_AKTUELL" \ webmaster@domain.de


    Leider funkt das $WHO_AKTUELL mit einer Domain oder IP nur "manchmal", d.h. oft bleibt die Variable leer, was im Fall der Fälle natürlich ärgerlich wäre.


    Ich nutze OpenSUSE 13.1.


    Hat jmd einen Tipp, wie ich dieses Skript verbessern kann?


    Vielen Dank!

    2 Mal editiert, zuletzt von doublem ()

    Für den Inhalt des Beitrages 70941 haftet ausdrücklich der jeweilige Autor: doublem

  • Du wertest die 6. Ausgabestelle des Befehls who -m aus.
    Diese ist aber nur belegt, wenn eine Remoteanmeldung am System erfolgt.
    Eine lokale Anmeldung am System wird (scheinbar) nicht angezeigt.
    Evetuell hilft Dir das weiter: Klick...


    w -i ist da ggf. etwas genauer.


    Help sagt aber :


    (if possible) ist wohl die entscheidende Aussage.

    Für den Inhalt des Beitrages 71032 haftet ausdrücklich der jeweilige Autor: repi

  • Warum nicht die Infos direkt aus den Logfiles ziehen? Dafür sollte sich z.B. Swatch eignen. Es ließe sich auch fail2ban dafür mißbrauchen.
    Allerdings muß sichergestellt sein. daß die Programme mitbekommen, wenn logrotate zuschlägt, das alte Log archiviert und eine neue leere Datei hinbaut. Da kann es passieren, daß zumindest fail2ban ein bissl mit kämpft, mit swatch hab ich keine Erfahrung.


    flo

    Für den Inhalt des Beitrages 71089 haftet ausdrücklich der jeweilige Autor: grossing

  • Gegen die Logfiles spricht IMHO, dass diese häufig im "Fall der Fälle" manipuliert bzw. gelöscht werden. Der Versand von Login-Informationen beim Einloggen ist hingegen nicht zu verhindern.

    Für den Inhalt des Beitrages 71093 haftet ausdrücklich der jeweilige Autor: doublem

  • Gegen die Logfiles spricht IMHO, dass diese häufig im "Fall der Fälle" manipuliert bzw. gelöscht werden. Der Versand von Login-Informationen beim Einloggen ist hingegen nicht zu verhindern.


    Wenn die logs dauernd (sprich in Abstand weniger Sekunden) ausgelesen werden, sollte sich die Manipulationsgefahr in Grenzen halten.
    Ein potentieller Angreifer könnte sich natürlich auch die bashrc zu Gemüte führen... ;)


    flo

    Für den Inhalt des Beitrages 71127 haftet ausdrücklich der jeweilige Autor: grossing


  • w -i ist da ggf. etwas genauer.
    [...]
    -i, --ip-addr display IP address instead of hostname (if possible)


    Ich habe weder bei der OpenSUSE 13.1 noch bei Raspbian die Option -i bei who... Welche Version verwendest du? (Versionsangaben und evtl. Quelle des Programms sind bei sowas oft wichtig)


    Ich habe bei der Susi

    Code
    who (GNU coreutils) 8.21

    und beim Raspbian

    Code
    who (GNU coreutils) 8.13


    Ergänzung: Ich hab gepennt, bei w sieht es ein bissl anders aus:
    beim w von openSUSE 13.1 ist -i dabei

    Code
    w from procps-ng 3.3.8

    bei dem von Raspbian nicht:

    Code
    w from procps-ng 3.3.3


    flo

    4 Mal editiert, zuletzt von grossing () aus folgendem Grund: Wurde auf einen Fehler meinerseits hingewiesen

    Für den Inhalt des Beitrages 71129 haftet ausdrücklich der jeweilige Autor: grossing