Shell脚本监控服务器pts登陆状况记录为日志并邮件通知【CentOS 6.5】

（一）配置服务器sendmail发邮件功能：

  安装sendmail服务：

# yum  install  sendmail  -y

 

  下面启动sendmail服务：

# /etc/init.d/sendmail  restart

    启动后请单独用mail -s测试邮件是否能够发送出去，此处不介绍了。

 

（二）Linux下用nali查询IP地址归属地：

  下载nali的tar包：

# wget  http://chenze.name/wenjian/nali-0.2.tar.gz

 

  解压，并放到合适位置：

# tar  xvf nali-0.2.tar.gz

# mv  nali-0.2  /mydata/nali

 

  编译安装：

# cd  /mydata/nali

# ./configure

# make  &&  make  install

 

  更新本地nali地址库（建议制定计划任务，天天自动更新一次IP地址库）：

# nali-update

 

 

  使用nali命令瞧一瞧：

# nali  42.96.189.63

 

 

  查看一下环境变量nali在哪一个目录下：

 

 

    若是nali命令获得的中文地名输入到log中或发送出去的邮件中为空或乱码，那多是服务器、脚本的编码问题，请自行解决。下面说正事儿：

 

  首先编写下面这个脚本，不要放在/root目录下！

# vim  /mydata/bash_shell/ssh_login_monitor.sh

------------------------------------------------------------------------

#!/bin/bash

echo
CommonlyIP=("139.168.55.6")                          #  经常使用ssh登录服务器的IP地址,即IP白名单
SendToEmail=("opsadmin@rjl.com" "123456789@qq.com")           #  接收报警的邮箱地址

LoginInfo=`last | grep "still logged in" | head -n1`
UserName=`echo $LoginInfo | gawk '{print $1}'`
LoginIP=`echo $LoginInfo | gawk '{print $3}'`
LoginTime=`date +'%Y-%m-%d %H:%M:%S'`
LoginPlace=`/usr/local/bin/nali $LoginIP | gawk -F'[][]' '{print $2}'`
SSHLoginLog="/var/log/login_access.log"

for ip in ${CommonlyIP[*]}  # 判断登陆的客户端地址是否在白名单中
do
    if [ "$LoginIP" == $ip ];then
        COOL="YES"
    fi
done

if [ "$COOL" == "YES" ];then
    echo "用户【 $UserName 】于北京时间【 $LoginTime 】登录了服务器,其IP地址安全！" >> $SSHLoginLog
elif [ $LoginIP ];then
    echo "用户【 $UserName 】于北京时间【 $LoginTime 】登录了服务器,其IP地址为【 $LoginIP 】,归属地【 $LoginPlace 】" | mail -s "【 通知 】 有终端SSH连上服务器了!" ${SendToEmail[*]}
    echo "用户【 $UserName 】于北京时间【 $LoginTime 】登录了服务器,其IP地址为【 $LoginIP 】,归属地【 $LoginPlace 】" >> $SSHLoginLog
fi
echo

------------------------------------------------------------------------

 

  将脚本添加到hosts.allow里，登陆终端自动执行该脚本一次：

# vim  /etc/hosts.allow

------------------------------------------------------------------------

# 添加下面这句话便可

sshd:All:spawn (/bin/sh /mydata/bash_shell/ssh_login_monitor.sh) &:allow

------------------------------------------------------------------------

 

【BUG提示】本人在后期使用过程当中发现，若是写在/etc/hosts.allow中，会有一个BUG，那就是第一个SSH终端登陆的用户将不会被“监视”到，也就是没法触发脚本，不会记录下日志。因而作以下改进：

  将脚本写到到 /etc/ssh/sshrc 中，ssh登陆时自动执行该脚本一次：

# vim  /etc/ssh/sshrc

------------------------------------------------------------------------

# 添加下面这句话便可

/bin/sh  /mydata/bash_shell/ssh_login_monitor.sh

------------------------------------------------------------------------

    因为/etc/hosts.allow 不管登陆用户是谁，执行该文件中的都将是root用户，所以，被调用的脚本也是root执行的。可是 /etc/ssh/sshrc 中就不同了，哪一个用户登陆的，就是哪一个用户执行脚本，那么问题来了，记录登陆信息的日志此时可能权限为644（echo生成的txt文件默认权限），普通用户写不成该文件！因此必定要记得用root用户赋予login_access.log文件 666 权限（若是结合zabbix自定义报警的话，就须要读文件，在这里读写权限一块儿给了）：

# chmod  666  /var/log/login_access.log

 

   能够打开一个新的终端试试效果了。若是脚本没有执行，请赋予脚本可执行权限（chmod +x），讲道理/bin/sh已经避免了权限致使脚本不可执行的问题。下面是实际效果：

  查看邮箱：

     查看服务器上登陆记录日志：

     # vim  /var/log/login_access.log

  至此，监控终端登录所有完成！