linux服务器登录微信报警通知

linux服务器ssh登录安全规则中，理论上要做到：防火墙限制，hosts.allow限制，root禁止登录，用户权限分配，ssh端口修改，登录时间限制，堡垒机登录。

这里只讲登录时间限制和登录报警通知

登录超过10分钟无操作自动断开链接：

在/etc/profile.d/中新建脚本autologout.sh，内容如下：

TMOUT=600
readonly TMOUT
export TMOUT

这样，用户超过600秒无操作就会断开链接。

登录报警：

在/etc/profile最后一行追加

/bin/bash /tmp/login.sh

这样，每个用户登录时候就会加载系统配置，发送微信通知我

weixin.sh脚本内容如下

#!/bin/bash
# -*- coding: utf-8 -*-
###SCRIPT_NAME:weixin.sh###
###send message from weixin for monitoring###
###V1-2017-09-05
sender(){
ip=`curl ip.sb`
message="用户`whoami`成功从`who am i |awk -F '[()]' '{print $2}'`登录${ip}_`hostname`服务器,时间`date '+%Y-%m-%d-%H:%M:%S'`"

CropID='企业微信应用id'
Secret='企业微信应用id密码'
GURL="https://qyapi.weixin.qq.com/cgi-bin/gettoken?corpid=$CropID&corpsecret=$Secret"
Gtoken=$(/usr/bin/curl -s -G $GURL | awk -F \" '{print $10}')
PURL="https://qyapi.weixin.qq.com/cgi-bin/message/send?access_token=$Gtoken"
function body() {
	local int AppID=1          # 企业号中的应用id
	local UserID=$1            # 部门成员id，zabbix中定义的微信接收者
	#local PartyID=$2          # 部门id，定义了范围，组内成员都可接收到消息
	#local Msg="hello" # 过滤出zabbix中传递的第三个参数
	printf '{\n'
	printf '\t"touser": "'$UserID'",\n'
	#printf '\t"toparty": "$PartyID",\n'
	printf '\t"msgtype": "text",\n'
	printf '\t"agentid": "'$AppID'",\n'
	printf '\t"text": {\n'
	printf '\t\t"content": "'$message'"\n'
	printf '\t"safe":"0"\n'
}
curl --data-ascii "$(body $1)" $PURL 1 > /dev/null 2>&1
printf '\n'
}

在编写一个login.sh脚本调用weixin.sh脚本

下面这个方法不是很好，应该判断是否从A,B,C这些ip访问的服务器。如果不是从这些ip访问的服务器代表这被入侵了。

但是公司网络没有固定ip，服务器太少跳板机成本大一点。所以用下面方法。

#!/bin/bash
hour=`date '+%H'`
week=`date '+%w'`
#如果是19点到10点之间则发送通知
if [ $hour -ge 18 ] || [ $hour -lt 9 ];then
    /bin/bash /tmp/weixin.sh guoyabin 1 > /dev/null 2>&1
fi
#如果是周67 则发送通知
if [[ $week > 5 ]];then
    /bin/bash /tmp/weixin.sh guoyabin 1 > /dev/null 2>&1
fi

　　

收到微信通知