Strona 1 z 1
Sprawdzanie logów ssh
: 30 sierpnia 2009, 23:22
autor: patrol114
Witam.
Mam takie pytanie dostałem włamanie na SSH, jak mógłbym sprawdzić logi ssh z jakiego ip się logował kiedy i jaki plik zmienił.
2 pytanie
Czy mógłbym zrobić tak, że do ssh może zalogować się moje ip lub ustawić 2 hasła na ssh?
Proszę o odpowiedź.
Pozdrawiam.
Re: Sprawdzanie logów ssh
: 30 sierpnia 2009, 23:30
autor: bobeq
patrol114 pisze:jak mógłbym sprawdzić logi ssh z jakiego ip się logował kiedy i jaki plik zmienił.
/var/log/auth.log
~/bash_history (o ile pracował w tej powłoce)
patrol114 pisze:Czy mógłbym zrobić tak że do ssh może zalogować się moje ip lub ustawić 2 hasła na ssh?
Można ustawić filtrowanie IP, ale proponowałbym zmienić port na jakiś niestandardowy oraz zainstalować fail2ban.
Spójrz na /etc/ssh/sshd_config.
Jeśli wolisz ograniczyć dostęp do usługi dla jednego adresu, poczytaj o iptables. Polecam nakładki a'la firehol.
: 30 sierpnia 2009, 23:55
autor: patrol114
Dziękuję, a posiadasz może jakiś poradnik do instalacji fail2ban bo znalazłem tylko konfigurację.
: 30 sierpnia 2009, 23:58
autor: bobeq
Jak będziesz umiał skonfigurować, to
i z górki.
: 31 sierpnia 2009, 00:18
autor: patrol114
Dziękuję.
Wiesz może jak sprawdzić ile ip logowało się do SSH?
: 31 sierpnia 2009, 00:57
autor: Redhead
Np. tak
Kod: Zaznacz cały
cat /var/log/auth.log | grep sshd | grep failure | wc -l
Ale odpwiedni regułki do iptables + wpisy tcp_wrappers i nikt nie wejdzie i wszystkie próby bedą odrzucone.
: 31 sierpnia 2009, 22:41
autor: KrzySie
Nie lepiej prościutko tak jak poniżej skorzystać z hosts.allow i hosts.deny?
Sprawdź np. tu