ユーザーが SSH 経由でサーバーにアクセスしたときにメールを送信する [閉じる]

質問がまだ明確ではないので、最初の段落に含まれている質問に答えようとしています。 SSHログインを記録する方法は？

また、PAMをサポートするすべての* nixシステムへの回答を制限します。特定のオペレーティングシステムを提供して問題の範囲を制限しないため、これは関連事項です。

いいですね。過去に私が使用したものは次のとおりですsshrc。このファイル（場所は異なる場合があります）を追加すると、次のファイルに置き換え/etc/sshられます。インタラクティブ（つまり、シェルを使用）SSH接続。

sftp-internalここでの欠点は、SFTP（サブシ​​ステム）接続などの関連情報がわからないことです。

しかし、ここには内部路線があります。

pam_exec.so以下を追加することで、PAMを有効に使用し、SSHへの影響を制限することができます/etc/pam.d/sshd（これはコメントアウトされていない最後の行でした）。

session    optional     pam_exec.so stdout /etc/your_email_script.sh

これにより、スクリプトが特権ユーザーとして実行され（メールを送信するためにsendmailバイナリを呼び出す場合に関連します）、ユーザーがこのスクリプトの実行を避けるためにできることはほとんどありません。このスクリプトへのアクセスをroot。

必要に応じて関連部品をoptional調整する必要があります。関連読書：man pam_exec、、、man pam.conf。man pam.d

スクリプトをどれだけ頻繁に実行するかを検討することもできます。

あなたが見て恋しいのはまさにそれです。サーバーをロックする他の方法もたくさんあります。まず、パスワードは許可されません。認証にのみキーを使用してください。 SFTPアクセス権のみを持つユーザーには他のアクセス権がないことを確認してください。

Match group sftponly
        ChrootDirectory /home
        X11Forwarding no
        AllowTcpForwarding no
        ForceCommand internal-sftp
        PasswordAuthentication no

sftponlyグループメンバーはSFTPのみを使用でき、ポート転送などは使用できず、範囲が指定されます/home（ファイル/フォルダ権限が残ります）。

AllowGroups ssh-users

〜するただグループメンバーはssh-usersSSHを介してログインすることもできます。つまり、SSHログインをユーザーのサブセットに制限できます。

PermitRootLogin no

そのユーザーを設定してsudoerに変更する必要があります。

PasswordAuthentication no
PubkeyAuthentication yes

お客様は、制限付きで管理できるパスワードを使用してログインできないようにする必要があります。

AuthorizedKeysFile     /some/protected/folder/.ssh/authorized_keys

ユーザーが自分のファイルを管理することを許可しないようにすることはできますが、authorized_keysユーザーの代わりに管理する必要があります。