Um script simples para avisar caso alguem acesse via ROOT usando SSH o seu servidor. Ele é um pouco mais incrementado que os scripts mais simples encontrados. Além de dar mais informações e envia-las ao seu email ele grava um arquivo no seu /root com todo o histórico dos acessos.
Eu uso ele em todos os servidores que gerencio. Primeiro acesse via SSH e execute:
cd root; pico -w /root/.bash_profileDepois copie e cole o código abaixo, claro mudando o endereço de destino que receberá o aviso automático:
#
# GRAVA LOG E HISTORICO DE ACESSOS ROOT
#
echo `who` >> .access
#
# EMAIL DE AVISO ACESSO ROOT
#
rootalert() {
echo 'ALERTA - Acesso ROOT SHELL'
echo
echo 'Servidor: '`hostname`
echo 'Data: '`date`
echo 'Usuario: '`who | awk '{ print $1 }'`
echo 'TTY: '`who | awk '{ print $2 }'`
echo 'Origem: '`who | awk '{ print $6 }' | /bin/cut -d '(' -f 2 | /bin/cut -d ')' -f 1`
echo
echo 'Estes usuários estão ativos neste instante como root:'
echo `who | awk '{print $6}'`
echo
echo 'Últimos 10 acessos efetuados:'
echo `last -n 10`
echo
echo 'Informações: Horário deste acesso, Uptime e Load Averange atual'
echo `uptime`
echo
}
rootalert | mail -s "Alerta: Acesso ROOT [`hostname`]"SEUEMAIL@AQUI.COM.BR
Ele criará também o arquivo .access no seu /root gravando as infromações de acesso deixando um histórico dos acessos efetuados. Detalhe importante: este código deve ser colocado logo abaixo da última linha do arquivo /root/.bash_profile que deve ser algo assim:
# .bash_profileCole abaixo do unset USERNAME
# Get the aliases and functions
if [ -f ~/.bashrc ]; then
. ~/.bashrc
fi
# User specific environment and startup programs
PATH=$PATH:$HOME/bin
export PATH
unset USERNAME