Sprawdzanie logów ssh

Ogólne pytania dotyczące systemu
patrol114
Posty: 10
Rejestracja: 30 sierpnia 2009, 23:17

Sprawdzanie logów ssh

Post autor: patrol114 »

Witam.
Mam takie pytanie dostałem włamanie na SSH, jak mógłbym sprawdzić logi ssh z jakiego ip się logował kiedy i jaki plik zmienił.

2 pytanie
Czy mógłbym zrobić tak, że do ssh może zalogować się moje ip lub ustawić 2 hasła na ssh?

Proszę o odpowiedź.
Pozdrawiam.
bobeq
Posty: 19
Rejestracja: 01 grudnia 2007, 12:09
Lokalizacja: Warszawa

Re: Sprawdzanie logów ssh

Post autor: bobeq »

patrol114 pisze:jak mógłbym sprawdzić logi ssh z jakiego ip się logował kiedy i jaki plik zmienił.
/var/log/auth.log
~/bash_history (o ile pracował w tej powłoce)
patrol114 pisze:Czy mógłbym zrobić tak że do ssh może zalogować się moje ip lub ustawić 2 hasła na ssh?
Można ustawić filtrowanie IP, ale proponowałbym zmienić port na jakiś niestandardowy oraz zainstalować fail2ban.
Spójrz na /etc/ssh/sshd_config.
Jeśli wolisz ograniczyć dostęp do usługi dla jednego adresu, poczytaj o iptables. Polecam nakładki a'la firehol.
patrol114
Posty: 10
Rejestracja: 30 sierpnia 2009, 23:17

Post autor: patrol114 »

Dziękuję, a posiadasz może jakiś poradnik do instalacji fail2ban bo znalazłem tylko konfigurację.
bobeq
Posty: 19
Rejestracja: 01 grudnia 2007, 12:09
Lokalizacja: Warszawa

Post autor: bobeq »

Jak będziesz umiał skonfigurować, to

Kod: Zaznacz cały

aptitude install fail2ban
i z górki. ;)
patrol114
Posty: 10
Rejestracja: 30 sierpnia 2009, 23:17

Post autor: patrol114 »

Dziękuję.

Wiesz może jak sprawdzić ile ip logowało się do SSH?
Awatar użytkownika
Redhead
Junior Member
Posty: 526
Rejestracja: 17 lipca 2007, 17:37

Post autor: Redhead »

Np. tak

Kod: Zaznacz cały

cat /var/log/auth.log | grep sshd | grep failure | wc -l
Ale odpwiedni regułki do iptables + wpisy tcp_wrappers i nikt nie wejdzie i wszystkie próby bedą odrzucone.
KrzySie
Posty: 25
Rejestracja: 24 maja 2009, 15:06
Lokalizacja: Kielce

Post autor: KrzySie »

Nie lepiej prościutko tak jak poniżej skorzystać z hosts.allow i hosts.deny?
Sprawdź np. tu
ODPOWIEDZ