Benim tavsiyem auditd kullanmak . Bu, Linux çekirdeğinin denetim alt sistemini kullanarak ve ciddiyse bunu yapmanın doğru yolunu kullanarak bence. Ve {security related} sorusunun niteliği göz önüne alındığında PAM'yi de kullanmalısınız . Sadece sahip varsayılan düzeyinde auditd ve PAM kurulu, otomatik olarak audit.log dosyasına kaydedilir tüm başarılı ve başarısız SSH girişimlerini elde edilmelidir. Yani hiçbir şeyi yapılandırmanız gerekmiyor, sadece auditd ve PAM kurulu. SLES için bu ilk elden biliyorum. Ve RHEL'e bahse girer ve Linux'un diğer kurumsal sürümleri de benzer şekilde çalışırdı.
http://manpages.ubuntu.com/manpages/precise/man8/auditd.8.html
auditd tarafından oluşturulan ham denetim günlüğünde aureport
, auditd man sayfalarında açıklanan filtrelemek gibi bir şey kullanabilir , kendi metin ayrıştırıcınızı yazabilir veya yalnızca VI kullanabilir ve anahtar kelimeleri arayabilirsiniz.
işte /var/log/audit/audit.log
benim dosyam dışında, linux sunucuma bağlanıyorum.
node=shark type=CRED_DISP msg=audit(1480622612.317:2211277): user pid=117768 uid=0 auid=23456 ses=2201 msg='op=PAM:setcred acct="ron" exe="/usr/sbin/sshd" (hostname=abc415.mycompany.us, addr=172.16.152.5, terminal=ssh res=success)'
- Yukarıdakilerden, sunucu adım köpekbalığı .
- Bunun gibi pek çok satır audit.log'da, bunu exe = "/ usr / sbin / sshd" e dayanarak istiyorum.
- ssh'd olan hesabın kullanıcı kimliği, bu örnek için 23456 olan auid'in değeridir.
- auid ile ilişkilendirilmiş kullanıcı hesabının adı acct = "ron" ile belirtilir.
- çoğu zaman denetim sistemi bağlanmaya çalışan sistemin dns ana bilgisayar adını kaydeder, ancak her zaman onun ip adresine sahiptir
- Eğer böyle bir şey aracılığıyla bu dönüştürmek gerekir böylece, dönem zamanının olduğu giriş tarihi
date --date @1480622612.317
ile sonuçlanan Thu Dec 1 15:03:32 EST 2016
ve benim sunucusuna ssh'd ne zaman olacağı.
Ne zaman res=failed
kullanıcı adını teşebbüs neyi altında, sistemler bağlanmaya çalıştıkları şey görmek için bu ip adresleri ve hostnames araştırmak istediğinizde olduğunu. Ve açıkçası başarılı ssh, sisteminizde neler olduğunu anlamaya çalışır - örneğin hostname ile her gün aynı masada oturan iş arkadaşınız bob; = bobscomputer ve ip address = 192.168.5.5; Dün sabah saat 2: 00'de, ip adresi 10.10.5.6'daki kullanıcı adı altında başarılı bir ssh girişimi görürseniz, araştırmak için bob ile konuşmanız en iyisi olabilir. Başka biri tarafından olası saldırı girişimi? Ve kısa bir süre sonra, denetleme günlüğünde bob'nin hesabından kaynaklanacak su girişimleri var mı?
Eğer tekrarlayan görünce res=failed
ve auid=0
ve acct=root
daha sonra bu kök hesaba kutuya ssha çalışan birileri var, ve değiştirmek zaman olduğu /etc/hosts.deny
KSHH'da için o IP adresine sahip.