iptables log ssh tentativas bem sucedidas que correspondem ips conhecidos

Question

iptables log ssh tentativas bem sucedidas que correspondem ips conhecidos

#1 resposta do (0 votos)
#2 resposta do (0 votos)

1

Não tenho certeza de como registrar tentativas ssh bem-sucedidas que correspondam a um endereço IP de GOOD_IPS. Até agora, estou registrando apenas tentativas de entrada e saída, independentemente de os endereços IP relacionados serem permitidos ou não. Como eu escreveria uma declaração que registra todas as tentativas de login de SSH bem-sucedidas que correspondem a um endereço de GOOD_IPS e também uma que registre tentativas bem-sucedidas e negadas de endereços fora de GOOD_IPS?

#allow ssh for ip addresses in GOOD_IPS chain
iptables -A OUTPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
iptables -A OUTPUT -p TCP --sport 22 -m state --state NEW -j GOOD_IPS
iptables -A OUTPUT -p tcp --sport 22 --syn -j LOG --log-prefix "iptables: ssh outgoing attempt"
iptables -A OUTPUT -p TCP --sport 22 -m state --state NEW -j DROP
iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
iptables -A INPUT -p tcp --dport 22 --syn -j LOG --log-prefix "iptables: ssh incoming attempt"
iptables -A INPUT -p TCP --dport 22 -m state --state NEW -j GOOD_IPS
iptables -A INPUT -p TCP --dport 22 -m state --state NEW -j DROP 
#ip addresses can be easily added 
iptables -A GOOD_IPS -s 192.168.182.132 -j ACCEPT
#iptables -A GOOD_IPS -s 232.28.25.86 -j ACCEPT

ssh iptables

por bigl 15.04.2013 / 16:04

2 respostas

Tags ssh iptables

Montando / var / www para recuperação de arquivos Sincronizar problemas com o Outlook 2007 e o Exchange 2010

score 0 · Answer 1

Concordo com Brigo que iptables não é adequado para problemas de reconhecimento de protocolo, como o registro de logins bem-sucedidos; isso é para o log de sshd . Mas você pode registrar tentativas de conexão com

iptables -I INPUT 1 -p tcp --dport 22 -s a.b.c.d/e -m state --state NEW -j LOG --log-prefix "ssh login attempt: "

onde a.b.c.d/e é seu bom intervalo de ip, com máscara (por exemplo, 10.4.0.0/16 ).

score 0 · Answer 2

Isso não é possível, pois o iptables não pode ver os dados relevantes.

Algo como iptables -A INPUT -m string --string "SUCCESS" -j LOG pode ter funcionado, se o SSH não estiver criptografando essa informação, tornando-a inutilizável para o iptables.

Além disso, todas as tentativas (bem-sucedidas) já estão registradas em /var/log/secure (ou onde quer que sua distribuição determine que isso seja feito). Por que não olha lá?