Sprawdzanie logów ssh

patrol114 · Post autor: **patrol114** » 30 sierpnia 2009, 23:22

Witam.
Mam takie pytanie dostałem włamanie na SSH, jak mógłbym sprawdzić logi ssh z jakiego ip się logował kiedy i jaki plik zmienił.

2 pytanie
Czy mógłbym zrobić tak, że do ssh może zalogować się moje ip lub ustawić 2 hasła na ssh?

Proszę o odpowiedź.
Pozdrawiam.

bobeq · Post autor: **bobeq** » 30 sierpnia 2009, 23:30

patrol114 pisze:jak mógłbym sprawdzić logi ssh z jakiego ip się logował kiedy i jaki plik zmienił.

/var/log/auth.log
~/bash_history (o ile pracował w tej powłoce)

patrol114 pisze:Czy mógłbym zrobić tak że do ssh może zalogować się moje ip lub ustawić 2 hasła na ssh?

Można ustawić filtrowanie IP, ale proponowałbym zmienić port na jakiś niestandardowy oraz zainstalować fail2ban.
Spójrz na /etc/ssh/sshd_config.
Jeśli wolisz ograniczyć dostęp do usługi dla jednego adresu, poczytaj o iptables. Polecam nakładki a'la firehol.

patrol114 · Post autor: **patrol114** » 30 sierpnia 2009, 23:55

Dziękuję, a posiadasz może jakiś poradnik do instalacji fail2ban bo znalazłem tylko konfigurację.

bobeq · Post autor: **bobeq** » 30 sierpnia 2009, 23:58

Jak będziesz umiał skonfigurować, to

Kod: Zaznacz cały

aptitude install fail2ban

i z górki.

patrol114 · Post autor: **patrol114** » 31 sierpnia 2009, 00:18

Dziękuję.

Wiesz może jak sprawdzić ile ip logowało się do SSH?

Redhead · Post autor: **Redhead** » 31 sierpnia 2009, 00:57

Np. tak

Kod: Zaznacz cały

cat /var/log/auth.log | grep sshd | grep failure | wc -l

Ale odpwiedni regułki do iptables + wpisy tcp_wrappers i nikt nie wejdzie i wszystkie próby bedą odrzucone.

KrzySie · Post autor: **KrzySie** » 31 sierpnia 2009, 22:41

Nie lepiej prościutko tak jak poniżej skorzystać z hosts.allow i hosts.deny?
Sprawdź np. tu

Sprawdzanie logów ssh

Sprawdzanie logów ssh

Re: Sprawdzanie logów ssh