实现方法
这里以一个简单的脚本为例,将需要开机自动执行的命令写入脚本文件内,赋予可执行权限。脚本内容如下:
这个脚本的主要任务是持续关注 /var/log/auth.log 文件。一旦发现有异常登录的情况,它会自动收集尝试登录的用户名以及该用户的IP地址。接着,它会利用 ipinfo.io 来查找这些IP地址的具体位置信息。最后,通过一个第三方的通知工具,比如钉钉,将这些重要信息即时发送给您,确保您可以及时了解到任何不寻常的活动。
赋予该脚本可执行的权限:
chmod +x /root/script/monitor_login.sh
创建systemd文件
在 /etc/systemd/system 目录中创建一个新的服务文件,例如 monitor-login.service:
sudo nano /etc/systemd/system/monitor-login.service
然后将以下内容添加到该文件中:
[Unit]
Description=Login Failure Monitoring Service
After=network.target
[Service]
ExecStart=/root/script/monitor_login.sh
Restart=on-failure
User=root
# 环境变量设置(如果有)
Environment="LOG_FILE=/var/log/auth.log"
[Install]
WantedBy=multi-user.target
配置说明:
[Unit]:
- Description:服务的描述。
- After=network.target:确保网络启动后再启动此服务。
[Service]:
- ExecStart:指定脚本路径。
- Restart=on-failure:如果脚本因错误退出,会自动重启。
- User=root:使用 root 用户运行该服务(如果需要)。
- Environment:设置环境变量,如 LOG_FILE。确保脚本中读取 $LOG_FILE 的位置正确。
[Install]:
- WantedBy=multi-user.target:服务将在系统的多用户目标下启动,通常为默认运行级别。
重新加载systemd配置并启动服务
执行下面的命令, 重新加载systemd配置。
sudo systemctl daemon-reload
通过执行systemctl status monitor-login.service查看服务启动状态,如下图所示:
最后通过执行下面的命令,设置开机自启动。
sudo systemctl enable monitor-login.service
通过执行如下命令查看开机启动项:
systemctl list-unit-files --type=service | grep enabled | grep login
可以看到自定义的服务已经设置成功了,如下图所示:
验证
当检测到有用户异常登录时,我们的钉钉会收到如下图所示的温馨提醒,以帮助我们及时关注并处理可能的安全问题。
脚本获取方式
上述脚本已经上传上传到gitee,有需要的小伙伴可以自行获取。gitee上的仓库主要是分享一些工作中常用的脚本。小伙伴可以frok或者watch仓库,这样有更新可以及时关注到。
仓库地址:https://gitee.com/didiplus/script