Eu usei o patch nesta página da Web (ligeiramente alterada) link para registrar a porta ssh.
Digamos que eu tenha um servidor SSH, com o encaminhamento de porta ativado. É bastante simples para um usuário configurar uma conexão SSH e encaminhar o tráfego de BitTorrent ou outro tráfego ilegal ou abusivo sobre ele. Como posso configurar o registro para registrar o que os portuários encaminham?
Eu usei o patch nesta página da Web (ligeiramente alterada) link para registrar a porta ssh.
Estou fazendo uma pergunta aqui Como pode um processo de host SSH detectar quais portas foram encaminhadas pelo cliente (-R não -L) para encontrar uma maneira mais elegante de fazer a mesma coisa.
No entanto, como não parece que há uma maneira melhor, eu faço isso com lsof
:
sudo lsof [email protected] -Fn -p99999 | grep "^n" | grep -v '\->' | awk -F: '{print $NF}' | sort | uniq
99999 é o PID do sshd
que gerencia a conexão em que você está interessado.
Existem algumas maneiras de usar esse snippet. Ou ter um processo de execução demorada que observe novas instâncias de sshd
e, em seguida, faça uma introspecção usando o comando acima ou prefixar todas as entradas de .ssh/authorized_keys
com um comando personalizado que faz isso, registra em algum lugar e exec
the comando original pretendido ( SSH_ORIGINAL_COMMAND
ou shell de login na maioria dos casos).
você pode tentar wireshark . Eu sinceramente não tenho certeza se ele fará especificamente o que você quer, mas certamente pode determinar o que os usuários estão fazendo na rede. Spiceworks é outra opção gratuita
netstat
, ps
e alguns tipos inteligentes de cuting & greping O Netstat pode fornecer os IDs do programa e o ps pode fornecer o usuário.
user@myhome:~$ ssh [email protected] -R 12345:other.server:22
enquanto isso no outro lado do console
[email protected]# netstat -plnt | grep 12345
tcp 0 0 127.0.0.1:12345 0.0.0.0:* LISTEN 12998/15
tcp6 0 0 ::1:12345 :::* LISTEN 12998/15
^ PID!
Claro que você não conhece a porta especificada em grep, grep está aqui para restringir minha saída
e
ps -aux | grep 12998 # the PID
user 12998 0.0 0.1 6624 1920 ? S 07:57 0:00 sshd: user@pts/15
et voila! você sabe que o usuário "user" está redirecionando a porta 12345 usando sshd
script & cron algo usando isso
Tags ssh ssh-tunnel