那些遇到过的问题

如何记录 SSH 访问尝试并跟踪 SSH 用户最终在我的服务器上执行的操作?

Rad*_*Hex 6 security ssh logging ubuntu-server ubuntu

我的服务器出现了一些安全问题,因为一些 SSH 用户造成了问题。

所以我想:

  • 跟踪用户登录和注销
  • 跟踪这些 SSH 用户的活动,以发现任何恶意活动
  • 防止用户删除日志

Dou*_*ris 10

ssh 守护进程sshd内置并启用了大部分功能。以下是/var/log/secure我机器上的一些示例行(名称和 IP 地址已更改):

Sep  7 08:34:25 myhost sshd[6127]: Failed password for illegal user root from 62.75.999.999 port 52663 ssh2
Sep  7 08:34:26 myhost sshd[7253]: User root not allowed because listed in DenyUsers
Sep  7 08:34:28 myhost sshd[7253]: Failed password for illegal user root from 62.75.999.999 port 53393 ssh2
Sep  7 11:55:18 myhost sshd[11672]: Accepted password for gooduser from 98.999.26.41 port 43104 ssh2
Sep  7 23:01:28 myhost sshd[22438]: Did not receive identification string from 999.56.32.999
Sep  8 06:31:30 myhost sshd[21814]: Accepted password for gooduser from 98.999.26.41 port 5978 ssh2
Run Code Online (Sandbox Code Playgroud)

这个例子显示了一些人以 root 身份 ssh 进入这台机器的几次尝试——两次都被拒绝,因为 root 被禁止。它还显示名为“gooduser”的用户成功登录。

微调什么你看到在哪个文件,在阅读更多的sshd_config手册页-专为LogLevel的和SyslogFacility的选项。

  • OP 指定了 Ubuntu,因此默认情况下,此信息将位于 `/var/log/auth.log` 中 - RHEL、Centos 等默认使用 /var/log/secure。在任何一种情况下,不仅可以归结为 sshd 配置中的“SyslogFacility”配置,还可以归结为 syslog 守护进程的配置——例如,在“/etc/rsyslog.conf”中。也许您可能在本地文件中以不同的方式排列日志文件,或者您可能将日志完全传送到其他地方。 (2认同)

归档时间:

查看次数:

39880 次

最近记录:

6 年,5 月 前
相关归档
当我启动 Ubuntu 时,它进入 tty[1-6] 而不是我的桌面(如何进入桌面?) 10
xargs --replace/-I 用于单个参数 10
从 apt-get 切换到 aptitude 会导致问题吗? 8
在 Linux 中自动登录 8
在 Windows OpenSSH Server 中向 DefaultShell 添加参数(例如 powershell.exe -NoLogo) 6
为具有 NAT 网络的 VirtualBox 来宾分配静态 IP 地址,而无需访问来宾 5
Ubuntu,搜索文件并查看所有子目录? 4
为特定 Excel 文件启用宏 4
使用 cygwin + ssh 时,http_proxy 设置不起作用 1
如何从 Linux 中删除 gzip 0
难疑归档
如何下载整个网站? 408
如何从 Firefox 的缓存中清除单个站点? 319
为什么“大小”和“磁盘大小”之间存在如此大的差异? 307
与 macOS tar 相比,为什么使用 Python 的 tar 库时 tar.xz 文件要小 15 倍? 240
在 .bashrc、.profile、.bash_profile 等之间进行选择 235
如何在 Windows 7 中禁用 Aero Shake? 154
如何使用 Homebrew (Mac) 重新安装软件包? 130
如何在 alpine linux 中安装 npm 128
i686 和 x86_64 有什么区别? 125
如何退出`sudo su`? 114