От: test@abc.com
Кому: root@abc.com,
Дата: 04.11.2014 Предмета 04:33: Информация о безопасности для server1
server1 : Apr 11 10:33:19 : test : user NOT in sudoers ; TTY=pts/0 ; PWD=/home/test ; USER=root ; COMMAND=/bin/su -
Я предполагаю, что Вы используете rsyslog
как регистрирующийся демон. Сохраните следующий отрывок конфигурации как /etc/rsyslog.d/60-sudo-mails.conf
.
# Load Mail output module
module(load="ommail")
# Template for the "Subject:" line to dynamically set the affected hostname
template(
name = "mailSubject"
type = "string"
string = "SECURITY information for %hostname%"
)
# If messages go to facility "authpriv" and have severity "warning" (or worse)
# and the program's name is "sudo", then perform the given action:
if ( prifilt("authpriv.warning") and ($programname == "sudo") ) then {
action(
type = "ommail"
server = "your_mail_server_here, e.g. mail.abc.com"
port = "25"
mailfrom = "test@abc.com"
mailto = "root@abc.com"
body.enable = "on"
subject.template = "mailSubject"
)
}
Удостоверьтесь, что Вы настраиваете почтовый сервер, который позволяет посылать электронные письма без аутентификации. Обычно это будет mailserver в Вашей локальной сети, но не Gmail или чем-то как этот потому что rsyslog
выходной модуль ommail
не может в настоящее время настраиваться для аутентификации (имя пользователя/пароль). Можно также хотеть добавить параметр
action.execOnlyOnceEveryInterval = "600"
к действию, таким образом, Вы получаете только одно электронное письмо каждые 10 минут (другие просто отбрасываются). Это зависит от того, как часто Вы ожидаете такое сообщение.
При выполнении, перезапуск rsyslog
:
sudo systemctl restart rsyslog.service
Испытайте любым issueing запрещенный sudo
команда или путем выполнения
logger -p authpriv.warning -t sudo "This should be sent as an email"
Вышеупомянутая конфигурация поместит logmessage, "как" в почтовое тело. Если Вы предпочитаете некоторое форматирование или другое появление затем, необходимо предоставить a template
для тела электронной почты