那些遇到过的问题

记录 SSH 访问尝试

Use*_*erK 71 ssh logs

我已经使用 openssh 配置了一个 ubuntu 服务器,以便连接到它并从远程系统(如手机或笔记本电脑)执行命令。问题是……我可能不是唯一的。

有没有办法知道对服务器进行的所有登录尝试?

Ant*_*hon 67

在 Ubuntu 服务器上,您可以在文件/var/log/auth.log. 在那里,您会找到以下条目:

May  1 16:17:02 owl CRON[9019]: pam_unix(cron:session): session closed for user root
May  1 16:17:43 owl sshd[9024]: Accepted publickey for root from 192.168.0.101 port 37384 ssh2
May  1 16:17:43 owl sshd[9024]: pam_unix(sshd:session): session opened for user root by (uid=0)
Run Code Online (Sandbox Code Playgroud)

  • 出于好奇,Ubuntu 有 [`lastb` 命令](https://dpaste.de/ggcH)? (2认同)

Ram*_*esh 32

在基于 Red Hat 的发行版(例如 Fedora/CentOS/RHEL)上,您可以检查在文件中登录的用户/var/log/secure

如果您想了解更多信息,请阅读标题为的超级用户问答:如何记录 SSH 访问尝试并跟踪 SSH 用户最终在我的服务器上执行的操作?.

  • `/var/log/secure` 是 Fedora/CentOS/RHEL 主义。 (6认同)

小智 12

请注意,Ubuntu 上的默认配置是不将 ssh 登录记录到/var/log/auth文件中。这是INFO日志记录级别。

如果你想拥有它包括在日志文件中的登录尝试,你需要编辑的/etc/ssh/sshd_config文件(以root或使用sudo),改变LogLevelINFOVERBOSE

之后,重新启动 sshd 守护进程

sudo service rsyslog restart
Run Code Online (Sandbox Code Playgroud)

之后,ssh 登录尝试将被记录到/var/log/auth.log文件中。

小智 10

在 Ubuntu 上,您可以通过 SSH 登录并使用 Linux tail 命令显示文件的最后 x 行/var/log/auth.log。当您通过 SSH 登录时,使用以下命令查看 SSH 日志的最后 100 行:

tail /var/log/auth.log -n 100
Run Code Online (Sandbox Code Playgroud)

甚至更干净 

tail -100 /var/log/auth.log | grep 'sshd'
Run Code Online (Sandbox Code Playgroud)

ron*_*ron 7

我的建议是使用auditd。这是使用 Linux 内核的审计子系统进行日志记录,在我看来,如果你是认真的,这是正确的方法。鉴于问题{安全相关}的性质,您也应该使用PAM 。在仅安装auditdPAM的默认级别下,您应该自动将所有成功和不成功的SSH尝试记录在audit.log文件中。因此,您实际上无需配置任何内容,只需安装auditdPAM即可。我对 SLES 有第一手了解。并且我敢打赌 RHEL 和任何其他企业版本的 Linux 都会以类似的方式运行。

http://manpages.ubuntu.com/manpages/precise/man8/auditd.8.html

在auditd生成的原始审计日志中,您可以使用auditdaureport手册页中描述的类似过滤器,编写自己的文本解析器,或者仅使用VI并搜索关键字。

/var/log/audit/audit.log这是我通过 ssh 进入 Linux 服务器的文件的例外情况。

node=shark type=CRED_DISP msg=audit(1480622612.317:2211277): user pid=117768 uid=0 auid=23456 ses=2201 msg='op=PAM:setcred acct="ron" exe="/usr/sbin/sshd" (hostname=abc415.mycompany.us, addr=172.16.152.5, terminal=ssh res=success)'
Run Code Online (Sandbox Code Playgroud)
  • 从上面可以看出,我的服务器名称是shark
  • 诸如此类的许多行都在audit.log中,我希望这一行基于exe =“/ usr / sbin / sshd”
  • ssh 进入的帐户的 uid 是 auid 的值,在本例中为 23456
  • 与 auid 关联的用户帐户的名称由 acct="ron" 指定
  • 大多数情况下,审核系统会记录尝试连接的系统的 dns 主机名,但它始终具有其 IP 地址
  • 条目的日期是纪元时间,所以你必须通过类似的方法来转换它,date --date @1480622612.317结果是Thu Dec 1 15:03:32 EST 2016and is 当我 ssh 进入我的服务器时。

res=failed您想要调查这些 IP 地址和主机名以查看哪些系统在尝试的用户名下尝试连接时。显然,成功的 ssh 会尝试了解您的系统上发生的情况 - 例如,您的同事 bob 每天坐在同一张桌子上,主机名=bobscomputer,ip 地址=192.168.5.5;例如,如果您在昨天凌晨 2 点看到他的用户名从 IP 地址 10.10.5.6 成功进行了 ssh 尝试,那么与 Bob 进行调查可能最符合您的利益。其他人可能进行黑客攻击吗?不久之后,su 是否尝试从 Bob 的帐户中获取审核日志?

当您看到重复的res=failed内容auid=0acct=root,表明有人试图通过 ssh 进入您的 root 帐户,并且当您/etc/hosts.deny使用 SSHD 的 IP 地址进行修改时。

归档时间:

查看次数:

352686 次

最近记录:

6 年,11 月 前
相关归档
I'm reinstalling my Linux desktop, how do I keep SSH logins working? 15
内核环形缓冲区相对于 rsyslog 位于何处? 9
CRON: pam_unix(cron:session): 由 (uid=0) 为 root 用户打开的会话:这是一个必须有的进程吗? 7
有没有办法从控制台获取通过 Chrome/Chromium 呈现的 HTML 页面? 6
SSH 用于隧道时有多安全? 6
无法通过 ssh 连接到转发端口 5
使 SSH 不使用 VPN 5
如果我不小心将“/usr/bin/ksh”改为“chmod 644”,我应该如何处理远程 AIX 机器? 4
按需将 SSH 密钥添加到 ssh-agent 2
Zsh 的 SSH“未找到命令” 1
难疑归档
Bash 运算符 [[ vs [ vs ( vs ((? 436
如何使用 ssh-add 列出添加到 ssh-agent 的密钥? 311
ssh-add 在重启之间不是持久的 181
如何从 UTF-8 文件中删除 BOM? 113
如何在不启动 livecd 的情况下缩小根文件系统 111
如何找出哪些进程阻止卸载设备? 106
如何获取 xmodmap 的键码? 104
是否有命令列出机器上所有打开的显示? 98
删除包含特定字符串的行和以下行 93
内核驱动程序和内核模块有什么区别? 83