Gentoo / General LinuxでSSHアクセス/ネットワークトラフィックを透過的に監視する方法は?

Gentoo / General LinuxでSSHアクセス/ネットワークトラフィックを透過的に監視する方法は?

Gentoo LinuxでSSHアクセスを監視する最も効果的な方法は何ですか?

私のGentooボックスは私のブロードバンドルーターの後ろでローカルに実行されます。私のルータにSSHポート転送があり、インターネットから私のルータを指すDNSエントリがあります。私のGentooボックスの着信接続がどの外部ドメイン/ IPから来るかを自動的に記録する方法はありますか?

同様に、ノイズを発生させずにこのボックスから入って来るすべてのネットワークトラフィックを記録する最良の方法は何ですか?

答え1

ユーザー認証イベントは通常、syslogデーモンによって/ var / logに記録されます。デフォルトの場所はディストリビューションによって異なりますが、通常/var/log/auth、/var/log/auth.log、/var/log/secureです。私はGentooシステムを持っていませんが、デフォルトのインストールではsyslog-ngを使用し、これらのイベントを/var/log/auth.logに記録します。

ネットワークトラフィックを監査する方法はいくつかあり、最善の方法は維持する必要がある詳細レベルと監視を完了するために使用できる追加の機器によって異なります。

システムが損傷する危険性が懸念される場合は、選択した監査ソリューションを監視しているシステム(ロギングを除く)にアクセスできない他のシステムに転送することを検討する必要があります。成功した攻撃者は、ローカルロギングシステムから違反証拠を削除する可能性があります。

答え2

これを行うための多くの解決策があります。たとえば、iptrafパッケージはtcpdump パケットを保存できます。

関連情報