Как запускать скрипт при попытке подключения к SSH-серверу?

Question

[Александр Борзунов]

Как сконфигурировать SSH-сервер (OpenSSH на Linux) так, чтобы при попытке подключения запускался специальный скрипт?

Если можно, лучше так, чтобы скрипту параметром передавался IP-адрес клиента.

Скрипт не должен запускаться при обычной авторизации на компьютере.

Comments

[AlexeyK]

что вы подразумеваете под «попыткой подключения» удачный логин? и после какого события должен запускаться ваш скрипт?

[Александр Борзунов]

Скорее удачный логин, но в принципе можно и просто подключение к порту (22). Скрипт пусть запускается сразу после этих событий.

Answer 1

[ComodoHacker]

Поместите нужные команды в /etc/ssh/sshrc, и они будут выполняться после успешного логина, но до шелла. IP адрес клиента можно взять из переменной SSH_CONNECTION или SSH_CLIENT. Подробнее см. man sshd, раздел SSHRC.

Учтите, что выполняеться это будет с правами клиента.

Comments

[Александр Борзунов]

И Вам спасибо, решил воспользоваться именно таким решением.

[vesh95]

Как я понял это для проверки прав и запуска хуков в самопальных git реестрах.

Мне, кстати yagpt вот такое решение подкинула:
# В authorized_keys добавьте строку в таком формате:
ssh-rsa AAAAB3NzaC1yc2EAAAADAQABAAABAQC... user@host,"/путь/к/скрипту.sh"

Answer 2

[shadowalone]

Если Вам это необходимо, что-бы скрипт отправлял оповещения о входе по ssh, на почту, смс, либо еще как, то правильный вариант выглядит несколько иначе:
Скрипт должен мониторить лог на предмет входа по ssh, и отправлять оповещения.

Comments

[shadowalone]

Если же надо мониторить даже попытки коннекта к ssh-порту,
то в правила файрвола, до строки разрешающей коннект к порту ssh, надо добавить примерно следующее:
-A INPUT -p tcp --dport 22 -j LOG --log-prefix "SSH Login request: "
А мониторить лог уже на предмет «SSH Login request: », в этой строке будет и откуда была попытка подключения.

[shadowalone]

Вы все-таки, определите задачу. А то Вы спросили о возможности реализации своего замысла, без определения задачи. Возможно Вам совсем и не надо, чтоб скрипт запускался по сигналу от ssh.
Как вариант, поменять шел для юзера, но тогда и при попытке входа локально, скрипт будет отрабатывать.
Ждем пояснений конкретной цели.

[shadowalone]

Немного поправил строку в файрволе, правильнее так:
-A INPUT -p tcp -m state --state NEW --dport 22 -j LOG --log-prefix "SSH Login request: "

[Александр Борзунов]

Большое спасибо за такой подробный ответ!

Answer 3

[brammator]

А если задача — «банить по адресу тех, кто перебирает пароли», то можно посмотреть на fail2ban и аналогичные утилиты. Там в принципе легко настраиваются любые логи, маски и реакции на них.