Email bei Reboot oder SSH Login

  • Es kommt manchmal auch auf die swatchdog-Version an.

    Leider haben die im Laufe der Zeit immer mal wieder die Syntax geändert.

    Du kannst auch mal folgende Varianten versuchen:


    mail address=mail\@domain.de,subject="Text" (Also das @ "escapen")

    mail="mail@domain.de", subject="Text"

    mail="mail\@domain.de", subject="Text"


    Wenn keine der drei helfen, dann weiß ich leider auch nicht weiter...

  • Thx für die Rückmeldungen.


    Das mit "address" hatte ich soweit erkannt - zumindest kam kein Fehler mehr in der Config und Service startet.


    2 Fragen:

    1. Sollte "mail=meinemail@gmail.com,subject=SSHlogin" auch normal in der Shell funktionieren? Das tut es leider nicht, sondern nur mit dieser Schreibweise:

    echo "Inhalt der E-Mail" | mail -s "Betreff" meinemail@gmail.com


    2. An das Suchmuster (@Bensen) hatte ich bereits gedacht, aber ich bin mit den regular expressions noch nicht so vertraut bei dieser Konfiguration.

    Folgendes finde ich im Log-File: sshd[9562]: Accepted password würde das mit /sshd.*Accepted.*/ matchen?


    * ist egal welches Zeichen und wie oft, oder?

    Sollte ich dann nicht nach /sshd*Accepted*/ suchen?

  • Folgendes finde ich im Log-File: sshd[9562]: Accepted password

    Dann müsste es /sshd*Accepted*/heißen. Alternativ kannst du es auch nur nach /Accepted/ suchen lassen.


    1. Sollte "mail=meinemail@gmail.com,subject=SSHlogin" auch normal in der Shell funktionieren? Das tut es leider nicht, sondern nur mit dieser Schreibweise:

    echo "Inhalt der E-Mail" | mail -s "Betreff" meinemail@gmail.com

    Nein dies wird nicht funktionieren. Warum auch?


    Es ist zwar gut das du dir Gedanken um die Sicherheit eines Server machst aber eventuell solltest du dir erstmal die basics beibringen und dich in die Materie einarbeiten bevor du einen Server betreibt.

  • Dann müsste es /sshd*Accepted*/heißen. Alternativ kannst du es auch nur nach /Accepted/ suchen lassen

    Hatte ich beides zwischenzeitlich getestet. Dann muss es am "mail" liegen. Sehe ich da irgendwo ein log zum swatchdog?

    Die Varianten von @aRaphael habe ich soweit durch, wirklich starten lässt sich das Service nur mit deinem Vorschlag. Müsste der in der Shell auch funktionieren?

    mail=meinemail@gmail.com,subject=SSHlogin

  • Du kannst ja auch mal versuchen mail direkt aufzurufen:


    watchfor /sshd.*Accepted.*/

    exec mail -s "test" mail@domain.tld


    (oder mit Pfad /usr/bin/mail)


    Oder mal was anderes mit ecex ausprobieren, statt zu versuchen emails zu senden, um das Problem einzugrenzen. (Evtl. auch mal nach was anderem suchen)


    Schade, dass es bei dir solche Probleme gibt.

    Bei mir hatte das auf Anhieb geklappt...


    btw:

    Dir ist klar, dass der service nur die neuen Zeilen im log scannt, die nach dem Starten von swatchdog neu hinzukommen?

  • basics beibringen

    Definier das mal bitte. Ich bin über eure Hilfe dankbar. Aber ich würde auch nicht fragen - wenn ich es nicht selber schon länger vorher auf diverse Arten probiert und mich ein wenig eingelesen hätte. :)

    Bzgl. Sicherheit hab ich schon einiges eingerichtet und mich an

    https://www.thomas-krenn.com/d…hern-cheat-sheet-v1.0.pdf

    gehalten.


    exec mail -s "test" mail@domain.tld

    oder mail -s "test" mail@domain.tld


    Beide senden erst, wenn ich "< /dev/null" anfüge. Ansonsten muss ich mit "." bestätigen und noch "cc" angeben.

    Aber mit "< /dev/null" funktioniert es.


    @neue Zeilen: ja, sobald ich die Config angepasst und den Service neu gestartet habe, checke ich den Status. Wenn alles okay ist, starte ich eine zweite Shell und prüfe meine Mail. Damit sollten neue Zeilen im Log generiert werden und die Suche den Key finden. Geprüft hab ich die Logs parallel dazu.


    Ja schon komisch, aber ich werde noch ein paar weitere Versuche starten.


    Hab jetzt noch folgendes getestet, damit ich mein Mail Problem verifizieren kann:

    exec touch /tmp/foo.bar


    Folder war leer. Zweite Mal per Shell verbunden und siehe da, die Datei wurde angelegt.


    D.h. Service läuft, gefunden wird der Suchcode, aber Mail ist das Problem. "< /dev/null" <-- kann ich das vielleicht auch anders lösen?

  • Wenn alles okay ist, starte ich eine zweite Shell und prüfe meine Mail.

    Da wird keine eMail kommen.

    Einfach eine zweite Shell aufzumachen triggert in der Regel nichts, weil das kein weiterer echter ssh-Login ist. Da sollte es eigentlich auch keinen entsprechenden Eintrag in der auth.log geben. Das springt nur an, wenn du dich z.B. mit deinem client erneut verbindest, also mit Passwort oder key über ssh anmeldest


    EDIT:

    Offenbar macht du das ja aber.

    Dann liegt es doch nur am Mailversand

  • Genau - meinte ich mit Shell. Connecte mich einfach nochmal per Putty rauf und es wird getriggered. Ja, liegt an der Mail. Versand klappt aber, d.h. ich muss am Command was machen. Alternative könnte ich ein bash script starten?

  • Hier mal, wie ich das mit swatchdog unter Ubuntu 20.04 gelöst habe:

    Danke, die Anleitung hat funktioniert:)


    Ich habe die Überwachung auf fremde Login-Versuche eingestellt und zu meinem Schrecken festgestellt, ca. 300 Login-Versuche hat es innerhalb von 24h auf meine Seite gegeben ( ALLE erfolglos ).

  • Ich habe die Überwachung auf fremde Login-Versuche eingestellt und zu meinem Schrecken festgestellt, ca. 300 Login-Versuche hat es innerhalb von 24h auf meine Seite gegeben ( ALLE erfolglos ).

    Leg mal den ssh-port um (von 22 auf was hohes) und du wirst sofort Ruhe haben. :)

    (Zumindest solange bis die etwas komplexeren bots kommen. ;) Aber in der Regel ist dann Ruhe)