[Previo por Fecha] [Siguiente por Fecha] [Previo por Hilo] [Siguiente por Hilo]
[Hilos de Discusión] [Fecha] [Tema] [Autor]Sergio Vergara wrote:
> Creo hoy ha sido el dia de las coincidencias, pues ya casi tengo
> resuelto lo del reenvio de mensajes.
> Necesito de su ayuda o recomendacion para que me indiquen como hacer lo
> siguiente:
>
> - Cuando un usuario indiscreto se cambia como root con el comando su ( o
> su -) o hace un telnet a un servidor x y accesa como root, como puedo
> hacerle para que al momento de cambiarse o accesar como root este me
> envie un mail o notificacion a mi cuenta de correo?
>
Puedes obtener de tus logs los registros de quién está accesando como Root:
cat /var/log/messages | grep "user root"
Esto te muestra no solo los acceso por terminal sino también aquellos por
su (incluyendo intentos fallidos). Creo que podrías meter esto en un script
para procesarlo y que se te envíe por mail (probablmente usando un "tail
-f" en vez del "cat" para ir capturando los últimos registros en tus logs).
La otra opción es que te consigas un paquete de vigilancia de logs, hay
muchos, busca por : "IDS" (Intrusion Detection Systems), uno de los más
famosos para Linux es Lids.
Saludos
Omar Herrera
Consultoría en Seguridad Informática
---------------------------------------------------------------------
Lista de soporte de LinuxPPP
Reglas de la lista en http://pepe.net.mx/reglas.html