Como monitorar de forma transparente o tráfego de acesso SSH / rede no Gentoo / linux geral?

1

Qual é a maneira mais eficaz de monitorar o acesso SSH no Gentoo Linux?

Minha caixa do Gentoo está operando localmente atrás do meu roteador de banda larga. Eu tenho o encaminhamento de porta SSH no roteador e uma entrada DNS apontando para o meu roteador na internet. Existe uma maneira de gravar silenciosamente em qual domínio externo / IP a conexão de entrada para minha caixa do Gentoo vem?

Da mesma forma, qual é o melhor método de gravar todo o tráfego de rede de e para esta caixa, novamente sem ser barulhento?

    
por user34789 22.03.2013 / 23:37

2 respostas

1

Os eventos de autorização do usuário geralmente são registrados pelo daemon de log do sistema em / var / log. Os locais padrão variam entre distros, mas geralmente é / var / log / auth, /var/log/auth.log, / var / log / secure. Eu não tenho um sistema Gentoo à mão, mas a instalação padrão costumava caracterizar o syslog-ng e registrar esses eventos em /var/log/auth.log.

Existem várias maneiras de auditar o tráfego de rede, o melhor depende do nível de detalhe que você precisa reter e do tipo de equipamento adicional que você pode usar para realizar o monitoramento.

Se você estiver preocupado com o risco de comprometimento em um sistema, deve considerar encaminhar qualquer solução de auditoria escolhida para outro sistema inacessível (exceto para registro) daquele que estiver monitorando. Os invasores bem sucedidos provavelmente removeriam evidências de sua violação dos sistemas de registro locais.

    
por 23.03.2013 / 03:35
1

você tem muitas soluções para isso, por exemplo iptraf ou tcpdump package pode armazenar seus pacotes.

    
por 23.03.2013 / 00:52