Notificar eventos SSH
En cierto modo, soy un paranoico de la seguridad. Constantemente estoy monitorizando mis dispositivos conectados a la red con el fin de detectar posibles intrusiones o envíos de datos no permitidos. Así pues, empleo varias herramientas para ello, pero además, soy fan declarado de las notificaciones de eventos, por lo que no podía dejar escapar esta oportunidad de fusionar ambas “manías”.
Además de las medidas de seguridad que tengo en mi entorno digital (de las que pondré algún post), he dedicido implantar un sistema de notificaciones que me avise cada vez que alguien (idealmente sólo yo mismo…) se logue en mi RPi a través de SSH.
¿Y por qué sólo a través de SSH? Porque en mi casa es la única manera de acceder a ella, ya que no tiene conectado ni teclado, ni ratón, ni monitor… sólo la toma de red y de corriente.
Así pues, decidí notificar estos eventos haciendo uso de mi cuenta de Telegram y el script de notificaciones que describí
aquí. Buscando información en internet, descubrí que la mejor manera de
tratar los eventos SSH es haciendo uso del PAM. Con esto en mente, creé el script
ssh_alert_script_pam.sh y le metí los manejadores para open_session
y
close_session
solamente, con el fin de crear un mensaje que posteriormente pasaría a mi script de notificación.
Una vez creado lo ubiqué en la carpeta /etc/pam.scripts/
(que previamente tuve que crear, para tener todos mis scripts de PAM agrupados)
y ejecuté las siguientes órdenes:
# chown root:root ssh_alert_script_pam.sh
# chmod 0700 ssh_alert_script_pam.sh
Ya tenemos listo el script para gestionar los eventos PAM de login y logout y sólo nos queda referenciarlo en el PAM para que lo
ejecute. Así pues, en /etc/pam.d/sshd
al final del archivo añadimos lo siguiente:
¡Y listo!
La próxima vez que alguien se logue en mi RPi, recibiré en mi Telegram una notificación como la siguiente:
Y, cuando me salga, algo como:
Y mientras esto coincida con las veces que yo entro y salgo del sistema, todo bien :)