Como faço para logar a porta SSH?

8

Digamos que eu tenha um servidor SSH, com o encaminhamento de porta ativado. É bastante simples para um usuário configurar uma conexão SSH e encaminhar o tráfego de BitTorrent ou outro tráfego ilegal ou abusivo sobre ele. Como posso configurar o registro para registrar o que os portuários encaminham?

    
por interfect 16.09.2010 / 06:16

4 respostas

3

Eu usei o patch nesta página da Web (ligeiramente alterada) link para registrar a porta ssh.

    
por 10.12.2010 / 20:42
2

Estou fazendo uma pergunta aqui Como pode um processo de host SSH detectar quais portas foram encaminhadas pelo cliente (-R não -L) para encontrar uma maneira mais elegante de fazer a mesma coisa.

No entanto, como não parece que há uma maneira melhor, eu faço isso com lsof :

sudo lsof [email protected] -Fn -p99999 | grep "^n" | grep -v '\->' | awk -F: '{print $NF}' | sort | uniq

99999 é o PID do sshd que gerencia a conexão em que você está interessado.

Existem algumas maneiras de usar esse snippet. Ou ter um processo de execução demorada que observe novas instâncias de sshd e, em seguida, faça uma introspecção usando o comando acima ou prefixar todas as entradas de .ssh/authorized_keys com um comando personalizado que faz isso, registra em algum lugar e exec the comando original pretendido ( SSH_ORIGINAL_COMMAND ou shell de login na maioria dos casos).

    
por 26.12.2011 / 22:58
0

você pode tentar wireshark . Eu sinceramente não tenho certeza se ele fará especificamente o que você quer, mas certamente pode determinar o que os usuários estão fazendo na rede. Spiceworks é outra opção gratuita

    
por 16.09.2010 / 06:40
0

netstat , ps e alguns tipos inteligentes de cuting & greping O Netstat pode fornecer os IDs do programa e o ps pode fornecer o usuário.

user@myhome:~$ ssh [email protected] -R 12345:other.server:22

enquanto isso no outro lado do console

[email protected]# netstat -plnt | grep 12345
tcp        0      0 127.0.0.1:12345         0.0.0.0:*               LISTEN     12998/15            
tcp6       0      0 ::1:12345               :::*                    LISTEN     12998/15 
                                                                                 ^ PID!

Claro que você não conhece a porta especificada em grep, grep está aqui para restringir minha saída

e

ps -aux | grep 12998 # the PID
user   12998  0.0  0.1   6624  1920 ?        S    07:57   0:00 sshd: user@pts/15

et voila! você sabe que o usuário "user" está redirecionando a porta 12345 usando sshd

script & cron algo usando isso

    
por 16.09.2010 / 08:07