আমি কীভাবে এসএসএইচ অ্যাক্সেসের প্রচেষ্টাগুলি লগ করতে পারি এবং এসএসএইচ ব্যবহারকারীরা আমার সার্ভারে কী করছেন তা ট্র্যাক করে রাখতে পারি?


6

আমার একটি সার্ভারের সাথে আমার কয়েকটি সুরক্ষা সমস্যা ছিল কারণ কয়েকটি এসএসএইচ ব্যবহারকারী সমস্যা তৈরি করেছে।

সুতরাং আমি চাই:

  • ব্যবহারকারীর লগইন এবং লগআউটগুলি ট্র্যাক করুন
  • কোনও এসএসএইচ ব্যবহারকারীদের কোনও ত্রুটিযুক্ত ক্রিয়াকলাপ আবিষ্কার করার জন্য ক্রিয়াকলাপ ট্র্যাক করুন
  • ব্যবহারকারীদের লগ মুছতে বাধা দিন

1
আমি মনে করি এই প্রশ্নটি সার্ভারফল্ট ডটকমের মধ্যে রয়েছে (তবে আমি নিশ্চিত নই)
subanki

উত্তর:


11

Ssh ডিমন, sshdএর মধ্যে অনেকগুলি বিল্ট ইন এবং সক্রিয় রয়েছে। /var/log/secureআমার মেশিনের কিছু নমুনা লাইন এখানে দেওয়া হয়েছে (নাম এবং আইপি ঠিকানাগুলি পরিবর্তিত হয়েছে):

Sep  7 08:34:25 myhost sshd[6127]: Failed password for illegal user root from 62.75.999.999 port 52663 ssh2
Sep  7 08:34:26 myhost sshd[7253]: User root not allowed because listed in DenyUsers
Sep  7 08:34:28 myhost sshd[7253]: Failed password for illegal user root from 62.75.999.999 port 53393 ssh2
Sep  7 11:55:18 myhost sshd[11672]: Accepted password for gooduser from 98.999.26.41 port 43104 ssh2
Sep  7 23:01:28 myhost sshd[22438]: Did not receive identification string from 999.56.32.999
Sep  8 06:31:30 myhost sshd[21814]: Accepted password for gooduser from 98.999.26.41 port 5978 ssh2

এই উদাহরণটি দেখায় যে কেউ কারও দ্বারা এই মেশিনটিকে রুট হিসাবে ছুঁড়ে ফেলার চেষ্টা করেছিল - উভয়ই অস্বীকার করা হয়েছিল কারণ রুট নিষিদ্ধ। এটি "গুডুজার" নামের ব্যবহারকারী দ্বারা একটি সফল লগইন দেখায়।

আপনি কী এবং কোন ফাইলটিতে যা দেখছেন তা সূক্ষ্ম করতে , sshd_config ম্যান পৃষ্ঠাতে আরও পড়ুন - বিশেষত লগলভিল এবং সিসলগফ্যাকিলিটির জন্য বিকল্পগুলি।


1
ওপিতে উবুন্টুকে নির্দিষ্ট করা হয়েছে, সুতরাং ডিফল্টরূপে এই তথ্যটি থাকবে /var/log/auth.log- ডিএইচএল, সেন্টোস এবং অন্যান্য ব্যবহার / ভার / লগ / ডিফল্টরূপে সুরক্ষিত। উভয় ক্ষেত্রেই এটি কেবল SyslogFacilityএসএসডিডি কনফিগারেশনের কনফিগারেশনের ক্ষেত্রেই আসে না , তবে সিসলগ ডিমন-র কনফিগারেশন-এও অন্তর্ভুক্ত /etc/rsyslog.conf। সম্ভবত আপনি স্থানীয় ফাইলগুলিতে লগ ফাইলগুলি আলাদাভাবে সাজিয়ে রাখছেন বা আপনি নিজের লগগুলি অন্য কোথাও পুরোপুরি প্রেরণ করছেন।
mc0e

3

ব্যবহারকারীদের ট্র্যাকিংয়ের একটি খুব সম্পূর্ণ উপায় হ'ল অডিট ব্যবহার করা । আপনার নিরীক্ষণের জন্য যা কিছু প্রয়োজন তা ট্র্যাক করার এটি কার্নেল স্তরের উপায়। এটি উবুন্টু সার্ভারের সাথে বান্ডিল করা উচিত এবং যদি ইতিমধ্যে চলমান না হয় তবে এটি দিয়ে শুরুযোগ্য হবে sudo service auditd start

এর জন্য / ইউএসআর / শেয়ার / ডক / অডিট / বা এর অনুরূপ কিছু কনফিগারেশন উদাহরণ রয়েছে এবং অবশ্যই যদি আপনি নিরীক্ষণ টিউটোরিয়ালের জন্য গুগল হন তবে আপনাকে অনেকগুলি, অনেক টিউটোরিয়াল দিয়ে পুরস্কৃত করা হবে।

অডিট দ্বারা উত্পাদিত প্রতিবেদনগুলি / var / লগ / নিরীক্ষণ / ডিরেক্টরিতে সংরক্ষণ করা হয়। এগুলিকে আরও বেশি পঠনযোগ্য ফর্মটিতে পার্স করা যেতে পারে আরেপোর্ট এবং অউসার্কের মতো সরঞ্জামগুলির সাথে , ইতিমধ্যে উবুন্টু সার্ভারের সাথে বান্ডিল করা উচিত।


3

ডগ হ্যারিস কী উত্তর দিয়েছিল তার অনুসরণ করে (এবং কেবল আপনার প্রশ্নের অংশের ঠিকানা - এটি আমি কীভাবে কাজ করি তা মনে হয়), লগওয়াচ প্যাকেজ আপনাকে এসএসএইচডি লগ সহ বেশ কয়েকটি সার্ভার লগের একটি দৈনিক সারাংশ ইমেল করবে। এসএসএইচ দিয়ে কারা সফলভাবে লগ ইন করেছে, কতবার এবং কোথা থেকে, পাশাপাশি আইপিগুলি কীভাবে ব্যর্থ হয়েছে এবং কী শংসাপত্র ব্যবহার করেছে তার একটি সংক্ষিপ্তসার আমি পেয়েছি। যদি কেউ হোস্টের উপর নিষ্ঠুরতার সাথে এসএসএইচ আক্রমণ করার চেষ্টা করে তবে আমি আর পাসওয়ার্ড প্রমাণীকরণের অনুমতি দিচ্ছি (এটি পরিবর্তনের জন্য আরএসএ কীগুলি সমর্থন করে আমি তা এড়াতে চেষ্টা করব) তবে গ্রাহক সর্বদা সঠিক এবং সর্বদা পাবলিক-কী প্রমাণীকরণ বোঝে না । যাইহোক।)

উবুন্টু, ব্যবহারের উপর Logwatch (যা মূলত বিভিন্ন লগ ফরম্যাটের পরিপাকের জন্য পার্ল ফিল্টার মাত্র একটি সংগ্রহ) ইনস্টল করার জন্য apt-get install logwatchএবং তারপর সম্পাদনা /etc/cron.daily/00logwatch, প্রতিস্থাপন --output mailসঙ্গে --mailto you@yourdomain.com। আপনি একটি দিন পাবেন। লগওয়াচটি আসলে পড়ে এমন লগগুলি সুরে আপনি আরও পতাকা যুক্ত করতে পারেন।


2

আমি বিশেষত ডিগ্রো-গ্রুপ টাইপ লোকদের ssh- অ্যাকাউন্টগুলি দেই না।

এখানে কয়েকটি জিনিস দেওয়া হল:

  • সর্বশেষে, আপনাকে সাম্প্রতিক লগইন-আউট-এর ইতিহাস দেয়।
  • কমান্ডের ইতিহাসটি মুছে ফেলা রোধ করতে বাশ ইতিহাসকে কঠোর করুন http://sock-raw.org/papers/bash_history

থেকে ক্যান ইতিহাস ফাইল ব্যাশ মধ্যে একীভূত করা হবে?

Insert the command shopt -s histappend in your .bashrc. 
This will append to the history file instead of overwriting it.
Also in your .bashrc, insert

PROMPT_COMMAND="$PROMPT_COMMAND;history -a; history -n"

and the history file will be re-written and re-read each time
bash shows the prompt.
আমাদের সাইট ব্যবহার করে, আপনি স্বীকার করেছেন যে আপনি আমাদের কুকি নীতি এবং গোপনীয়তা নীতিটি পড়েছেন এবং বুঝতে পেরেছেন ।
Licensed under cc by-sa 3.0 with attribution required.