Günlük formatı hakkında 2016-10-31 yükseltme
Doğru kurulum için bazı scriptler
Ssh bağlantılarını takip etmek / günlüğe kaydetmek için anahtar adı ile kullanıcı adı için tam bir kullanılabilir yöntem vardır.
Giriş
@Caleb'in anwer'in yanısıra, orada bazı küçük püf noktalarını paylaşmak istiyorum:
Not: Debian 6.0 üzerinde çalışıyorum .
Sunucu kurulumu
SSHD Günlük seviyesi
Öncelikle sunucu konfigürasyonunun yeterli kayıt seviyesine sahip olmasını sağlamak:
root olarak, bu ayrıntılı ve ayrıntılı giriş yapacaktır:
sed '/^[^#]*LogLevel.*\(QUIET\|FATAL\|ERROR\|INFO\)/{s/^/# /;h;s/$/\nLogLevel VERBOSE/};${p;g;/./!{iLogLevel VERBOSE'$'\n;};D}' -i /etc/ssh/sshd_config
Yazılabilir:
sed '
/^[^#]*LogLevel.*\(QUIET\|FATAL\|ERROR\|INFO\)/{
s/^/# /;
h;
s/$/\nLogLevel VERBOSE/
};
${
p;
g;
/./!{
iLogLevel VERBOSE
};
D
}' -i /etc/ssh/sshd_config
veya sed komut dosyasında :
#!/bin/sed -f
/^[^#]*LogLevel.*\(QUIET\|FATAL\|ERROR\|INFO\)/{
s/^/# /;
h;
s/$/\nLogLevel VERBOSE/
};
${
p;
g;
/./!{
iLogLevel VERBOSE
};
D
}
Hangi olarak çalıştırılabilir:
patchSshdConfigLogLevel.sed -i /etc/ssh/sshd_config
Bunu aktive ettiğiniz için :
service ssh restart
Syslog: parmak izlerini kullanıcı tarafından okunabilir hale getirmek
Şimdi kullanıcı tarafından okunabilir dosyada parmak izi alın:
echo ':msg, regex, "Found matching .* key:" -/var/log/sshdusers.log' \
> /etc/rsyslog.d/ssh_key_user.conf
echo ':msg, regex, "Accepted publickey for" -/var/log/sshdusers.log' \
>> /etc/rsyslog.d/ssh_key_user.conf
service rsyslog restart
Yeni dosyanın sshdusers.log
oluşturulmasını (ve bir şeyler içerdiğini) sağlamak için ssh'den giriş yapmayı (yeniden) deneyin , ardından
chmod 644 /var/log/sshdusers.log
kullanım
Bu, geçerli oturumların parmak izini basacaktır:
sed -ne "/sshd.$PPID.:.*matching .SA key/{s/^.* //g;h};\${x;p}" /var/log/sshdusers.log
sed -ne "/sshd.\($(($(ps ho ppid $PPID)))\|$PPID\).:.*\(Accepted publickey\|matching .SA key\)/{s/^.* //g;h};\${x;p}" /var/log/sshdusers.log
İçin eklenti .bashrc
Ve son olarak, sizin veya kullanıcının sonuna koymak için küçük bir eklenti/etc/bash.bashrc
var .bashrc
:
ssh_oPwd=$OLDPWD
ssh_oUmask=$(umask)
umask 077
ssh_tempdir=$(mktemp -d /tmp/ssh-id-XXXXXXX)
cd $ssh_tempdir || exit 1
ssh_crtFp=$(
sed -ne "/sshd.\($(($(ps ho ppid $PPID)))\|$PPID\).:.*\(Accepted publickey\|matching .SA key\)/{s/^.* //g;h};\${x;p}" /var/log/sshdusers.log
)
for ((ssh_i=1;ssh_i<=$(wc -l <$HOME/.ssh/authorized_keys);ssh_i++));do
export ssh_line="$(sed -ne ${ssh_i}p <$HOME/.ssh/authorized_keys)"
echo "$ssh_line" >tempKey
export ssh_lFp=($(ssh-keygen -l -f tempKey))
if [ "${ssh_lFp[1]}" == "$ssh_crtFp" ] ;then
export SSH_KEY_USER=${ssh_line##* }
break
fi
done
cd $OLDPWD
OLDPWD=$ssh_oPwd
rm -fR $ssh_tempdir
umask $ssh_oUmask
unset ssh_lFp ssh_line ssh_i ssh_crtFp ssh_tempdir ssh_oUmask ssh_oPwd
SSH'den tekrar giriş yaptıktan sonra göreceksiniz:
set | grep ^SSH
SSH_CLIENT='192.168.1.31 43734 22'
SSH_CONNECTION='192.168.1.31 43734 192.168.1.2 22'
SSH_KEY_USER=user@mydesk
SSH_TTY=/dev/pts/2
Not: Bazı kurulumlarda, yetkilendirilmiş anahtar dosyası belki farklı isimlerden $HOME/.ssh/authorized_keys2
...