Linux SSHログ監査

Linux SSHログ監査

Linuxシステムで誰がログインしたのか、どこで(IPアドレス)、いつログインしたのかを監視したいと思います。関連ログを開く方法は?簡単な文書は感謝する価値があります。

答え1

使用しているSSHサーバー(OpenSSH、dropbearなど)に関する詳細情報を提供してください。 OpenSSH-6.6を使用しています。その構成ファイルは通常「/etc/ssh/sshd_config」にありますが、サーバーの「-f」オプションの引数として独自の構成ファイルを指定することもできます(例:「sshd -f /my/config/)ファイル」 )。設定ファイルには興味がある2つのオプションがあります。

  • 「SyslogFacility」文書によると:

    sshd(8) でメッセージを記録するときに使用する機能コードを提供します。

  • 文書によると、「LogLevel」は次のようになります。

    sshd(8) でメッセージを記録するときに使用する詳細レベルを提供します。

"/etc/ssh/sshd_config"の私の設定:

SyslogFacility AUTH
LogLevel INFO

すべてのロギングが行われる場所を処理するために、いくつかのロギングデーモン(rsyslogやMetallogなど)をインストールすることもできます。 「rsyslog」をインストールし、「/var/log/auth.log」の「AUTH」施設のすべてのログを削除するように設定しました。ここでは、次の行を見つけることができます。

May 28 20:54:33 MY-HOSTNAME-HERE sshd[2025]: Accepted password for myuser from 127.0.0.1 port 50984 ssh2
May 28 20:54:34 MY-HOSTNAME-HERE sshd[2025]: pam_unix(sshd:session): session opened for user myuser by (uid=0)
May 28 20:55:12 MY-HOSTNAME-HERE sshd[2107]: Received disconnect from 127.0.0.1: 11: disconnected by user
May 28 20:55:12 MY-HOSTNAME-HERE sshd[2025]: pam_unix(sshd:session): session closed for user myuser

私はこれがあなたが探しているものだと思います。 rsyslog が sshd ロギングをこのファイルに保存できるようにする特定の構成は次のとおりです。

auth,authpriv.*                 /var/log/auth.log

Debian 派生製品にこれらのソフトウェアをインストールするには:

$ sudo apt-get install rsyslog openssh-server

引用する:

  • SSHD_CONFIG(5): OpenSSH サーバー構成ファイルです。
  • SSHD(8): OpenSSH サーバー用のコマンドラインマニュアルです。
  • SYSLOG(3): Linux プログラマのマニュアル、機能、およびロギングレベルについて説明します。
  • RSYSLOG.CONF(5): rsyslog デーモンの構成ファイル。
  • RSYSLOGD(8): rsyslog デーモンのコマンドラインマニュアルです。

答え2

探しているもののほとんどは、Linuxが通常ログを保存する場所である/var/log/messagesにあります。私は通常、良い画像を得るためにルートアクセスとして次の3つの検索を実行します。

grep -ir ssh /var/log/*
grep -ir breakin /var/log/*
grep -ir security /var/log/*

関連情報