Linux服务器安全策略配置-SSH与动态MOTD(一)

简介:

Linux登录提示(静态/动态MOTD)

在用户输入口令或使用密钥成功登录后,让服务器自动为我们执行几个简单的操作,如打印提示信息,打印异常信息,执行一个脚本,或者发送邮件等。能够预先提示信息给登录者,让我们在登录机器采取任何操作之前,可以快速的了解这台机器的重要信息。看起来是不是很有意思呢? 也许我们会想,这对于服务器的安全加固并没有直接的影响,而且每次刚刚登录就执行一系列命令、脚本(如收集服务器资源使用情况的信息),似乎也有点多余。因此,如果是在生产环境的Linux服务器并且需要配置登录提示,诸如登录执行命令、脚本等这些操作,我们不必为此写一个复杂的、庞大的脚本,脚本的执行时间很关键,如果你不想在正确输入登录密码后仍需等待几秒或更长的时间,那么,尽可能地把脚本的执行耗时优化到几毫秒,甚至更低。(登录后的提示或操作尽可能简单的、有利的是最好的。如果你想这么做)


    在大多数Linux分发版中,可以直接修改/etc/motd文件来定制任何想要的提示信息,修改方法是将需要打印的提示消息文件粘贴到该文件中即可(一些可执行命令或脚本在文件中仅仅被当作是普通字符/文本)/etc/motd内的文本消息是固定不变,除非我们手动修改它。因此,在/etc/motd中定制的消息是静态MOTD


    如果你使用过Debian/Ubuntu分发版,你可能已经发现,Ubuntu默认就已经有一个动态的MOTD信息提示(通过SSH或本地登录时显示系统当前的一些信息)。在RHEL/CentOS中不可能实现像在Debian/Ubuntu中这样的功能,因为RHEL/CentOS并没有提供与之相关的任何脚本。我们可以通过环境变量文件,如/etc/profile/etc/bashrc等,将需要执行的命令或脚本添加到这些文件末尾,这样当每次用户登陆时,系统就会读取这些文件,执行文件里定义好的脚本。除此之外,也可以结合使用crontab计划任务,将预先准备好的脚本,如系统监控,异常信息收集通过crontab在后台定期执行,并把收集到的信息重定向写到/etc/motd文件中。在用户登录系统时,就可以显示这些系统监控、异常处理信息了。


    在Ubuntu中,提供了一组脚本在目录/etc/update-motd.d/中,在用户登录时,按照脚本名字前缀的数字(00-99)顺序执行,并将这些脚本的输出保存到文件/run/motd.dynamic中,最终用户成功登录后,在登录的屏幕界面中打印出来。输出结果如下图所示

wKioL1kK2wCSa2whAADDmvKMfcM551.png

/etc/update-motd.d/脚本列表:

00-header  

10-help-text  

50-landscape-sysinfo  

90-updates-available  

91-release-upgrade  

98-fsck-at-reboot  

98-reboot-required

以上是在Ubuntu 14.04 LTS中默认的提供动态MOTD消息的脚本,这些脚本可以修改,也可以增加自己的脚本。比如替换为自己的定制好的脚本。


下面我给出在RHEL/CentOS中定制MOTD的几个简单操作示例:

打印提示信息,执行一个脚本,或者发送邮件

任何用户远程或本地登录后打印提示信息(如提示登录者这是一台重要的服务器,要求登录者谨慎操作)


>> 开启SSH服务打印MOTD消息,配置文件/etc/ssh/sshd_config,确认是否如下配置(默认为yes)

1
PrintMotd  yes


>> 修改/etc/motd文件,将提示消息粘贴到该文件中

1
2
3
4
5
[root@localhost ~] # cat /etc/motd 
***************************************************
* 注意: 这是一台重要的生产服务器,请谨慎操作!!  *
*       如需要重启/关闭服务器,请先将NFS卸载      *
***************************************************

>> 保存之后,使用SSH登录该服务器,输入正确的账号密码之后,提示如下

wKiom1kK22LjflnIAABfdbNQaRc453.png

当然,仅仅像这样简单的提示远远不够,我们可以根据这台服务器的特征、运行的服务、文件系统信息以及重要的细节信息等打印出来,让其他的IT人员登录该服务器时,在采取任何操作之前,可以快速的掌握这台服务器的重要信息。也可以起到一个警惕的作用。你可以根据自己的情况定制。


RHEL/CentOS中打印动态MOTD提示

>> 任何用户通过SSH远程登录打印提示如下

wKiom1kK24XCPAv1AACc12pT7z8902.png


>> 创建系统信息收集脚本

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
[root@HMing ~] # vim /usr/src/scripts/system_info.sh 
#!/bin/bash
  
date =` date  "+%F %T" `
head = "System information as of: $date"
  
kernel=` uname  -r`
hostname =` echo  $HOSTNAME`
  
#Cpu load
load1=` cat  /proc/loadavg  awk  '{print $1}' `
load5=` cat  /proc/loadavg  awk  '{print $2}' `
load15=` cat  /proc/loadavg  awk  '{print $3}' `
  
#System uptime
uptime=` cat  /proc/uptime  cut  -f1 -d.`
upDays=$((uptime /60/60/24 ))
upHours=$((uptime /60/60 %24))
upMins=$((uptime /60 %60))
upSecs=$((uptime%60))
up_lastime=` date  -d  "$(awk -F. '{print $1}' /proc/uptime) second ago"  + "%Y-%m-%d %H:%M:%S" `
  
#Memory Usage
mem_usage=` free  -m |  awk  '/Mem:/{total=$2} /buffers\/cache/ {used=$3} END {printf("%3.2f%%",used/total*100)}' `
swap_usage=` free  -m |  awk  '/Swap/{printf "%.2f%",$3/$2*100}' `
  
#Processes
processes=` ps  aux |  wc  -l`
  
#User
users =` users  wc  -w`
USER=` whoami `
  
#System fs usage
Filesystem=$( df  -h |  awk  '/^\/dev/{print $6}' )
  
#Interfaces
INTERFACES=$(ip -4 ad |  grep  'state '  awk  -F ":"  '!/^[0-9]*: ?lo/ {print $2}' )
  
echo
echo  "++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++"
echo  "$head"
echo  "----------------------------------------------"
printf  "Kernel Version:\t%s\n"  $kernel
printf  "HostName:\t%s\n"  $ hostname
printf  "System Load:\t%s %s %s\n"  $load1, $load5, $load15
printf  "System Uptime:\t%s " days " %s " hours " %s " min " %s " sec "\n"  $upDays $upHours $upMins $upSecs
printf  "Memory Usage:\t%s\t\t\tSwap Usage:\t%s\n"  $mem_usage $swap_usage
printf  "Login Users:\t%s\t\t\tWhoami:\t\t%s\n"  $ users  $USER
printf  "Processes:\t%s\n"  $processes
printf  "\n"
printf  "Filesystem\tUsage\n"
for  in  $Filesystem
do
     Usage=$( df  -h |  awk  '{if($NF=="' '' $f '' '") print $5}' )
     echo  -e  "$f\t\t$Usage"
done
printf  "\n"
printf  "Interface\tMAC Address\t\tIP Address\n"
for  in  $INTERFACES
do
     MAC=$(ip ad show dev $i |  grep  "link/ether"  awk  '{print $2}' )
     IP=$(ip ad show dev $i |  awk  '/inet / {print $2}' )
     printf  $i "\t\t" $MAC "\t$IP\n"
done
echo  "++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++"
echo


>> 给脚本增加执行权限

1
[root@HMing ~] # chmod +x /usr/src/scripts/system_info.sh


>> 将脚本的路径名添加到/etc/profile文件末尾

1
2
[root@HMing ~] # tail -1 /etc/profile
/usr/src/scripts/system_info .sh


任何用户远程或本地登录后发送邮件信息

>> 演示如下

wKioL1kK2_Kg5PwKAABGi-HBlTo926.png


>> 发送邮件如下

wKioL1kK3AnQDCW3AABD80PMTBo209.png

>> 创建一个发送邮件的脚本/usr/src/scripts/my-server-login-mail,如下

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
#!/bin/bash
smtp=smtp.163.com
smtp_auth_user=xxxxxx
smtp_auth_password=xxxxxxxxxx
from=xxxxxxxx@163.com
  
function  HEAD {
     Kernel_version=` uname  -r`
     Login_user=`last -a |  grep  "logged in"  wc  -l`
     Up_lastime=` date  -d  "$(awk -F. '{print $1}' /proc/uptime) second ago"  + "%Y-%m-%d %H:%M:%S" `
     Up_runtime=` cat  /proc/uptime awk  -F. '{run_days=$1 / 86400;run_hour=($1 % 86400) /3600 ;run_minute=($1 % 3600) /60 ;run_second
=$1 % 60; printf ( "%d天%d时%d分%d秒" ,run_days,run_hour,run_minute,run_second)}'`
     Last_user=`last |  awk  '( /pts/ ) && ( /-/ ){print  "User: " $1 " - " "OlineTime: " $NF " - " "IP: " $3 " - " "LoginTime: " $4 " " $5 " " $6 " "
$7} '| head -1 | sed -e ' s/( //g ' -e ' s/) //g '`
     echo  -e  ""
     echo  -e "\
     邮件提示: 未知身份来源使用${USER}用户登录系统 
     -------------------------------------------------------------
                             System information
     主机名: $HOSTNAME
     内核版本: $Kernel_version
     系统已运行时间: $Up_runtime
     上一次重启时间: $Up_lastime
     当前登入用户数: $Login_user
     上一次登入用户: $Last_user
     -------------------------------------------------------------
     "
};HEAD > /tmp/ .loginmail
  
title= "主机:`echo $HOSTNAME`登录提示 (`date " +%F %T "`)"
body=` cat  /tmp/ .loginmail`
to=741616710@qq.com
  
sendEmail -s  "$smtp"  -xu  "${smtp_auth_user}"  -xp  "${smtp_auth_password}"  -f  "$from"  -t  "$to"  -u  "$title"  -m  "$body"  &> /dev/null
  &&  rm  -rf  /tmp/ .loginmail

Linux发送邮件的程序有很多,在这里我用的是sendEmail,你也可以使用其他的发送邮件程序。


>> 将脚本绝对路径名添加到/etc/profile文件末尾

1
2
[root@HMing ~] # tail -1 /etc/profile
/usr/src/scripts/my-server-login-mail


结语

   动态的MOTD在Ubuntu中是开箱即用的,因为它已经被集成为系统的一个模块,通过pam_motd.so调用。不过,我们可以随时修改系统上预先配置好的脚本,将脚本放到/etc/update-motd.d/目录中,比如收集系统异常信息脚本,在用户登录时,将在第一时间反馈给用户,或者是系统登录记录的实时监控,通过发生邮件给用户,用户可以快速掌握服务器是否存在被入侵的情况。对于RHEL/CentOS发行版,我在文中也给出了几个简单的演示示例,实现动态MOTD。有兴趣同学的可以作为参考。

本文转自 HMLinux 51CTO博客,原文链接:http://blog.51cto.com/7424593/1922111


相关文章
|
16天前
|
云安全 监控 安全
服务器的使用安全如何保障
德迅卫士主机安全软件,采用自适应安全架构,有效解决传统专注防御手段的被动处境,精准捕捉每一个安全隐患,为您的主机筑起坚不可摧的安全防线
|
8天前
|
安全 大数据 Linux
云上体验最佳的服务器操作系统 - Alibaba Cloud Linux | 飞天技术沙龙-CentOS 迁移替换专场
本次方案的主题是云上体验最佳的服务器操作系统 - Alibaba Cloud Linux ,从 Alibaba Cloud Linux 的产生背景、产品优势以及云上用户使用它享受的技术红利等方面详细进行了介绍。同时,通过国内某社交平台、某快递企业、某手机客户大数据业务 3 大案例,成功助力客户实现弹性扩容能力提升、性能提升、降本增效。 1. 背景介绍 2. 产品介绍 3. 案例分享
|
23天前
|
存储 弹性计算 运维
端到端的ECS可观测性方案,助力云上业务安全稳定
本文介绍了云原生时代保障业务系统可靠性的方法和挑战,重点探讨了阿里云ECS在提升业务稳定性、性能监控及自动化恢复方面的能力。文章分为以下几个部分:首先,阐述了业务可靠性的三个阶段(事前预防、事中处理、事后跟进);其次,分析了云上业务系统面临的困难与挑战,并提出了通过更实时的监测和自动化工具有效规避风险;接着,详细描述了ECS实例稳定性和性能问题的解决方案;然后,介绍了即将发布的ECS Lens产品,它将全面提升云上业务的洞察能力和异常感知能力;最后,通过具体案例展示了如何利用OS自动重启和公网带宽自适应调节等功能确保业务连续性。总结部分强调了ECS致力于增强性能和稳定性的目标。
|
20天前
|
弹性计算 安全 搜索推荐
阿里云国际站注册教程:阿里云服务器安全设置
阿里云国际站注册教程:阿里云服务器安全设置 在云计算领域,阿里云是一个备受推崇的品牌,因其强大的技术支持和优质的服务而受到众多用户的青睐。本文将为您介绍阿里云国际站的注册过程,并重点讲解如何进行阿里云服务器的安全设置。
|
2月前
|
缓存 Ubuntu Linux
Linux环境下测试服务器的DDR5内存性能
通过使用 `memtester`和 `sysbench`等工具,可以有效地测试Linux环境下服务器的DDR5内存性能。这些工具不仅可以评估内存的读写速度,还可以检测内存中的潜在问题,帮助确保系统的稳定性和性能。通过合理配置和使用这些工具,系统管理员可以深入了解服务器内存的性能状况,为系统优化提供数据支持。
73 4
|
1月前
|
存储 Oracle 安全
服务器数据恢复—LINUX系统删除/格式化的数据恢复流程
Linux操作系统是世界上流行的操作系统之一,被广泛用于服务器、个人电脑、移动设备和嵌入式系统。Linux系统下数据被误删除或者误格式化的问题非常普遍。下面北亚企安数据恢复工程师简单聊一下基于linux的文件系统(EXT2/EXT3/EXT4/Reiserfs/Xfs) 下删除或者格式化的数据恢复流程和可行性。
|
2月前
|
安全 Linux API
Linux服务器安全
人们常误认为服务器因存于数据中心且数据持续使用而无需加密。然而,当驱动器需维修或处理时,加密显得尤为重要,以防止数据泄露。Linux虽有dm-crypt和LUKS等内置加密技术,但在集中管理、根卷加密及合规性等方面仍存不足。企业应选择具备强大验证、简单加密擦除及集中管理等功能的解决方案,以弥补这些缺口。
44 0
|
Ubuntu Linux 网络安全
Linux Debian11服务器安装SSH,创建新用户并允许远程SSH远程登录,并禁止root用户远程SSH登录
本文介绍了Linux Debian11服务器安装SSH,创建新用户并允许远程SSH远程登录,并禁止root用户远程SSH登录。
2928 1
Linux Debian11服务器安装SSH,创建新用户并允许远程SSH远程登录,并禁止root用户远程SSH登录
|
5月前
|
安全 Linux Shell
如何在 Linux 服务器上配置基于 SSH 密钥的身份验证
如何在 Linux 服务器上配置基于 SSH 密钥的身份验证
417 0
|
6月前
|
安全 Ubuntu Linux
记录一次Linux服务器被人使用SSH字典爆破
曾经我以为互联网到至今应该是很和平的状态,但是经历了这次ssh字典爆破攻击后我才意识到网络攻击无处不在,建议系统密码使用比较复杂的随机字符组合,七八十位都没问题,数据可贵,电脑该装杀毒软件的就装上,别因为那占用那点内存而舍弃杀毒软件,防网络攻击于未然 !