Diferença entre as entradas sshd open & close em / var / log / secure e as entradas de log in e out em / var / log / wtmp

1

Eu tenho tentado escrever um programa para executar muitos comandos durante uma conexão ssh.

Minha maneira atual é (1) criar conexão SSH; (2) criar um túnel / canal de comando SSH sempre que necessário; (3) fechar a conexão SSH.

Como esperado, vejo apenas duas entradas em / var / log / secure, correspondendo ao ssh open & evento próximo.

Meu problema é que existem muitas entradas em / var / log / wtmp, correspondendo ao login & evento fora.

Você poderia ajudar a comentar sobre os relacionamentos entre esses dois arquivos, no contexto da gravação de conexões SSH?

Qualquer ideia é apreciada! Desculpe pelo problema se a terminologia não for apropriada!

    
por SOUser 06.09.2013 / 16:53

1 resposta

1

Registre entradas em /var/log/secure rastrear eventos de autenticação. Um evento de autenticação acontece sempre que você abre uma conexão SSH. Essas entradas também podem aparecer em /var/log/auth.log , /var/log/syslog , /var/log/daemon.log , /var/log/messages e outros arquivos de log de modo de texto que podem existir dependendo da configuração do sistema; distribuições diferentes têm padrões diferentes a esse respeito.

Quando você faz algo através de uma conexão SSH existente, incluindo a abertura de um túnel ou uma conexão escrava, isso não requer nenhuma etapa de autenticação. Portanto, não há registro disso em /var/log/secure .

As entradas em /var/log/wtmp (e utmp ) registram a criação e a destruição de terminais, ou a atribuição e liberação de terminais para usuários. Assim, eles rastreiam apenas sessões interativas. Em algumas configurações, cada criação de um terminal por um emulador de terminal é registrada lá. Uma conexão SSH dispara o registro em utmp e wtmp se, e somente se, ele cria um terminal (ou seja, se você não passar um comando e, portanto, obter um shell interativo, ou se executar ssh -t ).

    
por 08.09.2013 / 03:41