E-Mail Info bei SSH Login

Hinweis: In dem Thema E-Mail Info bei SSH Login gibt es 6 Antworten. Der letzte Beitrag () befindet sich ganz unten auf dieser Seite.
  • E-Mail Info bei SSH Login

    Hallo,

    ich habe in /etc/bash.bashrc.local folgende Zeilen, um mich über Logins informieren zu lassen:

    Quellcode

    1. WHO_AKTUELL=`who -m | /usr/bin/awk '{print $6}'`
    2. echo 'Login on' `hostname` `date` `who -m` | \
    3. mail -s "Login auf `hostname` (cs07) von $WHO_AKTUELL" \ webmaster@domain.de


    Leider funkt das $WHO_AKTUELL mit einer Domain oder IP nur "manchmal", d.h. oft bleibt die Variable leer, was im Fall der Fälle natürlich ärgerlich wäre.

    Ich nutze OpenSUSE 13.1.

    Hat jmd einen Tipp, wie ich dieses Skript verbessern kann?

    Vielen Dank!

    Dieser Beitrag wurde bereits 2 mal editiert, zuletzt von doublem ()

    Für den Inhalt des Beitrages 70941 haftet ausdrücklich der jeweilige Autor: doublem

  • Funktioniert nur bei Remoteanmeldungen

    Du wertest die 6. Ausgabestelle des Befehls who -m aus.
    Diese ist aber nur belegt, wenn eine Remoteanmeldung am System erfolgt.
    Eine lokale Anmeldung am System wird (scheinbar) nicht angezeigt.
    Evetuell hilft Dir das weiter: Klick...

    w -i ist da ggf. etwas genauer.

    Help sagt aber :

    Quellcode

    1. Usage:
    2. w [options]
    3. Options:
    4. -h, --no-header do not print header
    5. -u, --no-current ignore current process username
    6. -s, --short short format
    7. -n, --no-truncat non truncated listing (large)
    8. -f, --from show remote hostname field
    9. -o, --old-style old style output
    10. -i, --ip-addr display IP address instead of hostname (if possible)
    11. --help display this help and exit
    12. -V, --version output version information and exit
    Alles anzeigen


    (if possible) ist wohl die entscheidende Aussage.

    Für den Inhalt des Beitrages 71032 haftet ausdrücklich der jeweilige Autor: repi

  • Warum nicht die Infos direkt aus den Logfiles ziehen? Dafür sollte sich z.B. Swatch eignen. Es ließe sich auch fail2ban dafür mißbrauchen.
    Allerdings muß sichergestellt sein. daß die Programme mitbekommen, wenn logrotate zuschlägt, das alte Log archiviert und eine neue leere Datei hinbaut. Da kann es passieren, daß zumindest fail2ban ein bissl mit kämpft, mit swatch hab ich keine Erfahrung.

    flo
    Auch zu finden bei der Mailingliste opensuse-de sowie im IRC als User grossing in den Netzwerken freenode und oftc - querys sind erlaubt, die Antwort kann dauern ;)

    Der Channel zum Forum: ##os-forum auf irc.freenode.net
    Per webchat webchat.freenode.net/##os-forum

    Alle von mir genannten Befehle sind als User auszuführen, außer ich schreibe explizit dazu "als root ausführen"!

    Meine Homepage

    Für den Inhalt des Beitrages 71089 haftet ausdrücklich der jeweilige Autor: grossing

  • Gegen die Logfiles spricht IMHO, dass diese häufig im "Fall der Fälle" manipuliert bzw. gelöscht werden. Der Versand von Login-Informationen beim Einloggen ist hingegen nicht zu verhindern.

    Für den Inhalt des Beitrages 71093 haftet ausdrücklich der jeweilige Autor: doublem

  • doublem schrieb:

    Gegen die Logfiles spricht IMHO, dass diese häufig im "Fall der Fälle" manipuliert bzw. gelöscht werden. Der Versand von Login-Informationen beim Einloggen ist hingegen nicht zu verhindern.


    Wenn die logs dauernd (sprich in Abstand weniger Sekunden) ausgelesen werden, sollte sich die Manipulationsgefahr in Grenzen halten.
    Ein potentieller Angreifer könnte sich natürlich auch die bashrc zu Gemüte führen... ;)

    flo
    Auch zu finden bei der Mailingliste opensuse-de sowie im IRC als User grossing in den Netzwerken freenode und oftc - querys sind erlaubt, die Antwort kann dauern ;)

    Der Channel zum Forum: ##os-forum auf irc.freenode.net
    Per webchat webchat.freenode.net/##os-forum

    Alle von mir genannten Befehle sind als User auszuführen, außer ich schreibe explizit dazu "als root ausführen"!

    Meine Homepage

    Für den Inhalt des Beitrages 71127 haftet ausdrücklich der jeweilige Autor: grossing

  • repi schrieb:


    w -i ist da ggf. etwas genauer.
    [...]
    -i, --ip-addr display IP address instead of hostname (if possible)

    Ich habe weder bei der OpenSUSE 13.1 noch bei Raspbian die Option -i bei who... Welche Version verwendest du? (Versionsangaben und evtl. Quelle des Programms sind bei sowas oft wichtig)

    Ich habe bei der Susi

    Quellcode

    1. who (GNU coreutils) 8.21
    und beim Raspbian

    Quellcode

    1. who (GNU coreutils) 8.13


    Ergänzung: Ich hab gepennt, bei w sieht es ein bissl anders aus:
    beim w von openSUSE 13.1 ist -i dabei

    Quellcode

    1. w from procps-ng 3.3.8
    bei dem von Raspbian nicht:

    Quellcode

    1. w from procps-ng 3.3.3


    flo
    Auch zu finden bei der Mailingliste opensuse-de sowie im IRC als User grossing in den Netzwerken freenode und oftc - querys sind erlaubt, die Antwort kann dauern ;)

    Der Channel zum Forum: ##os-forum auf irc.freenode.net
    Per webchat webchat.freenode.net/##os-forum

    Alle von mir genannten Befehle sind als User auszuführen, außer ich schreibe explizit dazu "als root ausführen"!

    Meine Homepage

    Dieser Beitrag wurde bereits 4 mal editiert, zuletzt von grossing () aus folgendem Grund: Wurde auf einen Fehler meinerseits hingewiesen

    Für den Inhalt des Beitrages 71129 haftet ausdrücklich der jeweilige Autor: grossing

www.cyberport.de