加強Linux防線,快速構建異常登錄檢測與警報系統
在管理和維護Linux服務器時,安全是一個非常重要的方面。監控登錄異常可以幫助管理員及時發現潛在的安全問題,比如多次失敗的登錄嘗試、來自未知IP的訪問等。本文將介紹如何編寫一個Shell腳本,監控Linux服務器的登錄異常并發送警報。
工作場景
運維工程師小張負責管理公司的多臺Linux服務器。為了確保服務器的安全性,小張需要定期監控服務器的登錄記錄,尤其是關注異常的登錄行為,例如多次失敗的登錄嘗試或者來自不常見IP地址的登錄。通過自動化腳本,小張可以及時獲取異常登錄的警報,從而采取必要的安全措施。
腳本功能概述
我們將編寫一個Shell腳本,實現以下功能:
- 定期檢查系統日志,獲取登錄失敗的記錄。
- 識別多次失敗的登錄嘗試和來自未知IP的登錄,并查詢這些IP的歸屬地
- 將異常情況記錄到日志文件。
- 把告警信息推送到釘釘群。
準備工作
在開始編寫腳本之前,需要在釘釘群創建一個機器人,機器人的類別選擇webhook,如下圖所示:
目前釘釘webhook強制要求了加簽、關鍵字 、IP,3選一,關鍵字最簡單,如下圖所示:
關鍵字的作用是你發送的消息體一定要包括關鍵字才能觸發。
執行下面代碼測試機器人是否配置成功。
curl "https://oapi.dingtalk.com/robot/send?access_token=你的密鑰" -H 'Content-Type: application/json' -d '{"msgtype": "text","text": {"content":"監控報警:異常登錄"}}'成功執行,會在釘釘群上看到如下圖消息:
編寫監控腳本
該腳本主要用于監控 Linux服務器的登錄日志文件 以檢測登錄失敗的情況,并將告警信息發送到釘釘。當檢測到關鍵詞pam_unix(sshd:auth): authentication failure時,腳本提取日志中的IP地址和用戶名。然后,通過調用ipinfo.io API 查詢該IP地址的歸屬地信息(包括國家、城市和地區),并將這些信息準備發送到釘釘。
(1) 設置日志文件路徑和釘釘WebHook URL
LOG_FILE="/var/log/auth.log"
WEBHOOK_URL="https://oapi.dingtalk.com/robot/send?access_token=you_token"(2) 定義關鍵詞,用于檢測登錄失敗。
KEYWORD="pam_unix(sshd:auth): authentication failure"(3) 實時監控日志文件
tail -Fn0 "$LOG_FILE" | while read line ; do(4) 檢查是否包含關鍵詞
echo "$line" | grep "$KEYWORD" &> /dev/null
if [ $? = 0 ]
then(5) 提取IP地址和登錄用戶名
IP=$(echo "$line" | awk '{for(i=1;i<=NF;i++){if($i ~ /rhost=/){print $i}}}' | cut -d '=' -f 2)
USER=$(echo "$line" | awk '{for(i=1;i<=NF;i++){if($i ~ /^user=/){print $i}}}' |cut -d '=' -f 2)(6) 查詢IP的歸屬地信息
location=$(curl -s ipinfo.io/$IP | jq -r '" Country: \(.country), City: \(.city), Region: \(.region)"')(7) 構建消息內容
PAYLOAD=$(cat <<-EOF
{
"msgtype": "markdown",
"markdown": {
"title":"監控報警:異常登錄",
"text":"
##### Linux服務器監控報警:異常登錄 \n
> ##### <font color=#67C23A> 【登錄用戶】</font> :<font color=#FF0000> $USER</font>
> ##### <font color=#67C23A> 【登錄IP】</font> :<font color=#FF0000> $IP </font>
> ##### <font color=#67C23A> 【IP歸屬地】</font> :<font color=#FF0000> $location </font>
> ##### <font color=#67C23A> 【告警時間】</font> :<font color=#FF0000> $(date +"%Y-%m-%d %H:%M:%S") </font>
"
}
}
EOF
)(8) 把告警信息推送到釘釘
curl -s -H "Content-Type: application/json" -d "$PAYLOAD" "$WEBHOOK_URL" &>/dev/null腳本使用
在要監控的服務器上新建一個名為monitor_login.sh,把腳本內容復制到文件中如下圖:
并為腳本賦予執行權限,如下:
運行如下命令,啟動腳本:
root@didiplus:/home# ./monitor_login.sh在另外一臺機器上模擬登錄失敗,這時,監控服務器會出現如下圖所示:
然后,在釘釘群上可以看到如下告警信息:
總結
通過上述腳本,運維人員可以有效地監控Linux服務器的登錄異常情況,及時發現并處理潛在的安全問題。該腳本通過解析系統日志,識別多次失敗的登錄嘗試和來自未知IP的登錄,并通過釘釘方式通知管理員,實現了對登錄異常的實時監控。希望這篇教程能幫助到你,提高服務器的安全管理水平。
