SSH登录其实并没有什么好值得我们奇怪的,但如果登录时,会有相应的提示,比如手机短信,或者邮件提示,这样的话,相对我们来说,会多少有一些安全的感觉.
前提:
安装jq (发送的邮件中加入了对ip归属地的分析,所有需要使用这个库来解析下接口返回的json来提取信息)
步骤:
以下方法适用OpenSSH,其他根据实际修改:
首先,确认你为OpenSSH使用了PAM,检查“/etc/ssh/sshd_config”,看下“UsePAM”的值是不是定义为“yes”。
接下来,利用pam_exec给OpenSSH做个钩子注册动作,编辑“/etc/pam.d/sshd”,在末尾添加一行:
session optional pam_exec.so seteuid /etc/ssh/login-notifications.sh
然后,创建个“login-notifications.sh”脚本来处理邮件发送,通常我会在“/etc/ssh/”下创建,内容如下:
#!/bin/sh
export.UTF-8
if [ "$PAM_TYPE" = "open_session" ]
then
address="$(curl --connect-timeout 2 -s http://ip-api.com/json/{$PAM_RHOST}?lang=zh-CN | jq -r '. as {country:$country, city:$city}|$country+$city')"
{
echo "User: $PAM_USER"
echo "Remote Host: $PAM_RHOST"
echo "address: $address"
echo "Service: $PAM_SERVICE"
echo "TTY: $PAM_TTY"
echo "Date: `date "+%Y-%m-%d %H:%M:%S"`"
echo "Server: `uname -a`"
} | mail -s "[SSH Login]$PAM_SERVICE login on `hostname -s` for account $PAM_USER" youeEmail@qq.com
fi
exit 0记得把youeEmail@qq.com值改为你的邮箱。最后为该脚本文件添加执行权限:
chmod +x /etc/ssh/login-notifications.sh
用这种方式的好处是什么呢?
或者说比你通过修改Shell的Profile文件(如bashrc、zshrc等等)来做邮件提醒有什么好处?
第一,免去多种Shell共存时,你都要去修改相应Shell配置文件。(如果你只用Bash Shell,那还好)
第二,免去每新增一个Shell窗口,便邮件提醒你一次。(有时开很多shell窗口来处理事物时,过多邮件提醒,很烦,也很傻)
第三,如果对方登录你的VPS,并不打开SSH窗口,便不会提醒的毛病。(比如我登录VPS,只是想SFTP而非SSH,这种方法也会邮件提醒,而通过修改Shell配置文件的则不会提醒,因为这时还没触发启动Shell)
第四,钩子直接在OpenSSH上,省去各种可能的意外。(比如上面第三点)
OK,就介绍到这里。
邮件提醒只是一种安全措施(举措),而不是安全手段(认证或保密)。邮件提醒无法代替任何安全手段,比如“禁止密码,使用密钥登录”、“两步验证”等一些认证手段还是很有必要的。
邮件提醒并不能保障你的密码、密匙不会被盗或者说被泄漏,它只是很单纯的在有人登录的时候提醒你,仅此而已。
踩坑:
发送邮件带中文导致邮件的正文内容变成了附件形式
还没有评论,来说两句吧...