auditoria de log do Linux ssh

0

Eu quero monitorar logins ssh em uma caixa Linux: quem, de onde (endereço IP) e quando. Como abrir logs relacionados? Um documento simples é apreciado.

    
por Lin Ma 29.05.2015 / 00:46

2 respostas

1

Por favor, dê mais informações sobre o servidor SSH que você usa (OpenSSH, dropbear, etc.). Estou usando o OpenSSH-6.6. Seu arquivo de configuração é normalmente encontrado em "/ etc / ssh / sshd_config", embora você possa especificar seu próprio arquivo de configuração para o servidor como um argumento para a opção "-f" (por exemplo, "sshd -f / my / config / Arquivo"). O arquivo de configuração tem duas opções que serão de seu interesse:

  • "SyslogFacility", de acordo com os documentos:

    Gives the facility code that is used when logging messages from sshd(8)

  • "LogLevel", de acordo com os documentos:

    Gives the verbosity level that is used when logging messages from sshd(8)

Minhas configurações em "/ etc / ssh / sshd_config":

SyslogFacility AUTH
LogLevel INFO

Você também pode querer ter instalado algum daemon de registro como o rsyslog ou o metalog para cuidar de onde está todo o registro. Eu instalei o "rsyslog" e ele está configurado para descartar todos os logs do recurso "AUTH" para "/var/log/auth.log", onde eu posso encontrar linhas como estas:

May 28 20:54:33 MY-HOSTNAME-HERE sshd[2025]: Accepted password for myuser from 127.0.0.1 port 50984 ssh2
May 28 20:54:34 MY-HOSTNAME-HERE sshd[2025]: pam_unix(sshd:session): session opened for user myuser by (uid=0)
May 28 20:55:12 MY-HOSTNAME-HERE sshd[2107]: Received disconnect from 127.0.0.1: 11: disconnected by user
May 28 20:55:12 MY-HOSTNAME-HERE sshd[2025]: pam_unix(sshd:session): session closed for user myuser

Qual é, eu acho, o que você está procurando. A configuração específica que faz o rsyslog inserir o registro do arquivo sshd é:

auth,authpriv.*                 /var/log/auth.log

Para instalar esses softwares nos derivados do Debian:

$ sudo apt-get install rsyslog openssh-server

Referências :

  • SSHD_CONFIG (5): arquivo de configuração do servidor OpenSSH.
  • SSHD (8): manual de linha de comando do servidor OpenSSH.
  • SYSLOG (3): Manual do programador do Linux descrevendo recursos e níveis de log.
  • RSYSLOG.CONF (5): arquivo de configuração do daemon rsyslog.
  • RSYSLOGD (8): Manual da linha de comandos do daemon rsyslog.
por 29.05.2015 / 02:39
1

Você pode encontrar a maior parte do que procura em / var / log / messages, que é onde o Linux geralmente coloca logs. Eu costumo executar as seguintes três pesquisas com privilégios de root para obter uma boa imagem

grep -ir ssh /var/log/*
grep -ir breakin /var/log/*
grep -ir security /var/log/*
    
por 29.05.2015 / 04:45

Tags