[Cybersécurité] Être averti par mail à chaque connexion SSH réussie!

Nous vous avons concocté une matrice des commandes à executer afin que vous soyez averti si une session SSH est réussie.

Ici, on a utilisé PAM (Pluggable Authentication Module) et SENDMAIL. Rien d’extraordinaire mais très pratique et préemtif !

En effet, c’est un audit en temps réel !

1. Installez SENDMAIL
2. Testez si effectif :
echo « Subject: test » | sendmail -v [votre email]
2.A. Testez !

ps -xa | grep sendmail | grep -v grep
2.B. Vérifiez où SENDMAIL est installé.

which sendmail
3. mkdir /etc/pam.scripts

4. chmod 0755 /etc/pam.scripts
5. touch /etc/pam.scripts/ssh_alert.sh
6. Renforcez la sécurité :
6.A. chmod 0700 /etc/pam.scripts/ssh_alert.sh
6.B. chown root:root /etc/pam.scripts/ssh_alert.sh
7. nano/etc/pam.scripts/ssh_alert.sh

Copier/coller le texte suivant:

#!/bin/sh
 
# Your Email Information: Recipient (To:), Subject and Body
RECIPIENT= »[email protected] »
SUBJECT= »Email from your Server: SSH Alert »
 
BODY= »
A SSH login was successful, so here are some information for security:
User: $PAM_USER
User IP Host: $PAM_RHOST
Service: $PAM_SERVICE
TTY: $PAM_TTY
Date: `date`
Server: `uname -a`
« 
 
if [ ${PAM_TYPE} = « open_session » ]; then
echo »Subject:${SUBJECT}${BODY} »| /usr/sbin/sendmail ${RECIPIENT}
fi
 

exit 0

8. Touche finale : Ajouter ce texte (à la fin) de/etc/pam.d/sshd :

# SSH Alert script
session required pam_exec.so /etc/pam.scripts/ssh_alert.sh

Maintenant que vous êtes alerté des connexions à votre Linux, ajoutons un peu plus de sécurité !

  • Désactivez SSH login pour root.
  • Changez le port SSH (22 par défaut),
  • Utilisez *fail2ban* en prévention d’une attaque *brute-force*. Le *nouveau port* facilitera les audits.
  • En dernier lieu, intégrez *port knocking* voire A2F (ou 2FA en anglais). Au pire utilisez des clés SSH.
## Have a lot of fun :)

Tags , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , ,