一、引言

在某些特殊时期（如HVV）需要重点监控Linux核心资产SSH连接登录活动情况，实现ssh登录报警监控。其实实现方式并不难。

二、邮箱设置

在邮箱中需要启用“SMTP”协议，并生成对应的客户端授权码。

三、脚本配置

操作系统：CentOS Linux release 7.9.2009 (Core)

步骤1：登录要进行ssh登录监控的 Linux 服务器，在 /etc/ssh 创建"sshrc"文件：

#!/bin/bash
#获取登录者的用户名
user=$USER
#获取登录者的IP地址
ip=${SSH_CLIENT%% *}
#获取登录的时间（精确到秒）
time=$(date +%F" "%H:%M:%S)
#服务器的IP地址
hostname=$(hostname)
echo "您的机器:$hostname，于:$time，被IP:$ip以账号$user进行登录,请确认是否为公司员工。" > log

python3 /etc/ssh/testEmail.py   "$time" "$user" "$ip" "$hostname"

步骤2：并在如上自定义路径中创 建 “testEmail.py” 脚本文件。

# ls -l
总用量 616
......
-rw-r--r--  1 root root        410 4月  11 13:41 sshrc
-rw-r--r--  1 root root       2007 4月  11 13:35 testEmail.py

步骤3：修改Python代码中自定义配置部分。

四、登录测试

再次进行ssh登录该服务器会收到邮件如下图，则表示ssh被监控成功。

登录Linux主机提示如下：

源代码：

• https://github.com/zuozewei/blog-example/tree/master/Operations/SSH_Alert_%20Log

参考资料：

• https://developer.aliyun.com/article/611488