openssh a logovani pokusu o pripojeni ??

Pokousim se rozjet openssh.
Porad ale nejsem schopnej prijit na to, kam se logujou pokusy o pripojeni :oops: :roll:

Ve /var/log/ mam akorat lastlogin.

/etc/ssh/sshd_config:

Kód:

---

# Logging
# obsoletes QuietMode and FascistLogging
SyslogFacility AUTH
LogLevel INFO

---

do /var/log/messages se me zaloguje jen uspesne pripojeni:

Kód:

---

Nov 26 13:48:00 gentoo sshd[25996]: Server listening on 0.0.0.0 port 22.
Nov 26 13:57:09 gentoo sshd(pam_unix)[26048]: session opened for user jura by (uid=0)

---

Mne to normalne loguje do /var/log/messages - a permanentne mi to plnia nejake sracky podobnymi vecami:

Kód:

---

Nov 20 10:10:08 router sshd[24106]: Did not receive identification string from 66.127.183.82
Nov 20 10:22:12 router sshd[24107]: Failed password for root from 66.127.183.82 port 34542 ssh2
Nov 20 10:22:21 router sshd[24109]: Invalid user postgres from 66.127.183.82
Nov 20 10:22:21 router sshd[24109]: Failed password for invalid user postgres from 66.127.183.82 port 35509 ssh2
Nov 20 10:22:31 router sshd[24111]: Invalid user accept from 66.127.183.82
Nov 20 10:22:31 router sshd[24111]: Failed password for invalid user accept from 66.127.183.82 port 36542 ssh2
Nov 20 10:22:40 router sshd[24113]: Invalid user leo from 66.127.183.82
Nov 20 10:22:41 router sshd[24113]: Failed password for invalid user leo from 66.127.183.82 port 37707 ssh2
Nov 20 10:22:52 router sshd[24115]: Invalid user zeppelin from 66.127.183.82
Nov 20 10:22:52 router sshd[24115]: Failed password for invalid user zeppelin from 66.127.183.82 port 39223 ssh2

---

zkus dat LogLevel VERBOSE
popr. hod vypis ps ax, at je videt, s jakyma parametrama se to pousti

LogLevel mam default (= INFO), rovnako ako takmer vsetky ostatne nastavenia. Ale Slackware nema PAM, tak tam mozu byt nejake rozdiely v spravani.

Citace:

---

Původně odeslal Rainbow

Mne to normalne loguje do /var/log/messages - a permanentne mi to plnia nejake sracky podobnymi vecami:

Kód:

---

Nov 20 10:10:08 router sshd[24106]: Did not receive identification string from 66.127.183.82
Nov 20 10:22:12 router sshd[24107]: Failed password for root from 66.127.183.82 port 34542 ssh2
Nov 20 10:22:21 router sshd[24109]: Invalid user postgres from 66.127.183.82
Nov 20 10:22:21 router sshd[24109]: Failed password for invalid user postgres from 66.127.183.82 port 35509 ssh2
Nov 20 10:22:31 router sshd[24111]: Invalid user accept from 66.127.183.82
Nov 20 10:22:31 router sshd[24111]: Failed password for invalid user accept from 66.127.183.82 port 36542 ssh2
Nov 20 10:22:40 router sshd[24113]: Invalid user leo from 66.127.183.82
Nov 20 10:22:41 router sshd[24113]: Failed password for invalid user leo from 66.127.183.82 port 37707 ssh2
Nov 20 10:22:52 router sshd[24115]: Invalid user zeppelin from 66.127.183.82
Nov 20 10:22:52 router sshd[24115]: Failed password for invalid user zeppelin from 66.127.183.82 port 39223 ssh2

---

---

tohle same je v logu pro Debian. Nebavilo me pridavad IPcka do hosts.deny, tak jsem si stahnul a nastavil BlockHosts a od te doby mam klid 8-)

btw: debian to loguje do /var/log/auth.log

este je otazka jakej loglevel logujes do messages ...

To zjistim jak ?

Jinak diky za rady, vyzkousim to az budu doma, ssh server jsem zatim pustenej nenechal, dokud to nezacne logovat a jeste musim sestavit nejaky fw :)

Citace:

---

Původně odeslal dekon

To zjistim jak ?

Jinak diky za rady, vyzkousim to az budu doma, ssh server jsem zatim pustenej nenechal, dokud to nezacne logovat a jeste musim sestavit nejaky fw :)

---

V nastaveni svyho logovaciho demona :). Melo by tam bejt co a akm se loguje.

tazatel: /var/log/auth.log, /etc/syslog.conf, /etc/ssh/sshd_config a man stránky k těm konfigurákům.

Rainbow:

Kód:

---

PermitRootLogin No

---

v /etc/ssh/sshd_config a je pokoj...

Citace:

---

Původně odeslal David Jaša

Rainbow:

Kód:

---

PermitRootLogin No

---

v /etc/ssh/sshd_config a je pokoj...

---

To mam samozrejme nastavene, bez toho nikde nepustam SSH von.

Citace:

---

Původně odeslal Rainbow

Citace:

---

Původně odeslal David Jaša

Rainbow:

Kód:

---

PermitRootLogin No

---

v /etc/ssh/sshd_config a je pokoj...

---

To mam samozrejme nastavene, bez toho nikde nepustam SSH von.

---

Preco bez toho nie ? Moje servery aj vonku na nete maju root login povoleny a nemam problem. Nedostane sa tam nikto.

Kedze sa ako root normalne neprihlasujem, tak to vypinam. Co keby niekto uhadol heslo? Sice dost nepravdepodobne pri takej dlzke, ale je to nastavene za par sekund, tak preco to nepouzit...

Moj nazor je ze ked sa necha ssh aby overovalo heslo tak je bezpecnost nutne zabezpecovat dalsimi vacsinou komplikovanymi metodami ktore sa mozu obratit aj voci administratorovi serveru, napr. ked sa chce pripojit z nestandardnej IP adresy atd.. Pouzivam ssh dsa keys takze 25 znakove nahodne heslo roota si nemusim pamatat ani zapisovat a prihlasim sa odkial chcem a kedy chcem bez toho aby som ohrozil bezpecnost serveru.

Citace:

---

Původně odeslal Rainbow

Kedze sa ako root normalne neprihlasujem, tak to vypinam. Co keby niekto uhadol heslo? Sice dost nepravdepodobne pri takej dlzke, ale je to nastavene za par sekund, tak preco to nepouzit...

---

A co sa tyka hadania hesla.. tvoj sposob vyzaduje dbat na to aby kazdy user mal kvalitne heslo lebo ked je hociktory user prelomeny tak je uz len otazka casu kedy sa hackne server, aj bez toho aby sa lamalo root heslo.

syslog-ng.conf.

Kód:

---

# $Header: /var/cvsroot/gentoo-x86/app-admin/syslog-ng/files/syslog-ng.conf.gen$#
# Syslog-ng default configuration file for Gentoo Linux
# contributed by Michael Sterrett

options {
        chain_hostnames(off);
        sync(0);

        # The default action of syslog-ng 1.6.0 is to log a STATS line
        # to the file every 10 minutes.  That's pretty ugly after a while.
        # Change it to every 12 hours so you get a nice daily update of
        # how many messages syslog-ng missed (0).
        stats(43200);
};

source src { unix-stream("/dev/log"); internal(); pipe("/proc/kmsg"); };

destination messages { file("/var/log/messages"); };

# By default messages are logged to tty12...
destination console_all { file("/dev/tty12"); };
# ...if you intend to use /dev/console for programs like xconsole
# you can comment out the destination line above that references /dev/tty12
# and uncomment the line below.
#destination console_all { file("/dev/console"); };

log { source(src); destination(messages); };
log { source(src); destination(console_all); };

---

ps ax

Kód:

---

8519 ?        Ss    0:00 /usr/sbin/sshd

---

EDIT: vytvoril jsem rucne soubor /var/log/auth.log a nic se do nej nezapisuje :(

Citace:

---

Původně odeslal Rainbow

Kedze sa ako root normalne neprihlasujem, tak to vypinam. Co keby niekto uhadol heslo? Sice dost nepravdepodobne pri takej dlzke, ale je to nastavene za par sekund, tak preco to nepouzit...

---

Lepsi je sebou nosit na USB klic (samo s najekym heslem), pak se muze nekdo snazit hadat neslo jak chce, bez klice se stejne nepripoji.

2dekon: A ses si jistej, ze to ti sshd posila vubec nejaky logy ?

No do /var/log/lastlog to zapise IP z ktere se prihlasim naposledy ale jedinej log co to dela.

Hmm tak to vypada ze to normalne loguje do /var/log/messages:

Kód:

---

Dec  3 10:31:25 gentoo sshd(pam_unix)[20011]: authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=66.188.182.36

---

EDIT: Chtel jsem pouzit ten skript BlockHosts, ale v systemu vubec nemam soubor /etc/hosts.deny, mam ho normalne vytvorit rucne ?

Jak nastavim presmerovani logu sshd deamona treba do /var/log/sshd.log ?

Citace:

---

Původně odeslal dekon

Jak nastavim presmerovani logu sshd deamona treba do /var/log/sshd.log ?

---

1. Nestačí ti logy sshd ve /var/log/auth.log?
2. Pokud ne, podíval ses do těch man stránek?

Hint: facility, priority ;-)

Citace:

---

Původně odeslal David Jaša

Citace:

---

Původně odeslal dekon

Jak nastavim presmerovani logu sshd deamona treba do /var/log/sshd.log ?

---

1. Nestačí ti logy sshd ve /var/log/auth.log?
2. Pokud ne, podíval ses do těch man stránek?

Hint: facility, priority ;-)

---

ad 1) do /var/log/auth.log se me logy sshd neposilaji, vsechno se cpe do /var/log/messages
ad 2) myslis man sshd_config ?

Jsem tupej => nasel jsem:

Citace:

---

SyslogFacility
Gives the facility code that is used when logging messages from
sshd. The possible values are: DAEMON, USER, AUTH, LOCAL0,
LOCAL1, LOCAL2, LOCAL3, LOCAL4, LOCAL5, LOCAL6, LOCAL7. The
default is AUTH.

---

Ale nevim jaky nastaveni je nejukecanejsi a hlavne jak docilim toho, aby se logy sshd posilaly treba do /var/log/auth.log.

EDIT : logovani sshd deamona jsem vyresil zatim ponekud krkolome :? :
cat /var/log/messages | grep sshd > /var/log/auth.log

Citace:

---

Původně odeslal dekon

ad 1) do /var/log/auth.log se me logy sshd neposilaji, vsechno se cpe do /var/log/messages
ad 2) myslis man sshd_config ?

---

oboji: man syslog.conf

Citace:

---

Původně odeslal dekon

Jsem tupej => nasel jsem:

Citace:

---

SyslogFacility
Gives the facility code that is used when logging messages from
sshd. The possible values are: DAEMON, USER, AUTH, LOCAL0,
LOCAL1, LOCAL2, LOCAL3, LOCAL4, LOCAL5, LOCAL6, LOCAL7. The
default is AUTH.

---

Ale nevim jaky nastaveni je nejukecanejsi a hlavne jak docilim toho, aby se logy sshd posilaly treba do /var/log/auth.log.

---

Seš na správné stopě. :-) Teď ještě tu prioritu/log-level u démona a zpracování u syslogu.

Citace:

---

Původně odeslal dekon

EDIT : logovani sshd deamona jsem vyresil zatim ponekud krkolome :? :
cat /var/log/messages | grep sshd > /var/log/auth.log

---

Na tom je krkolomnej už ten cat:

Kód:

---

grep [volby] regexp soubor #nebo
grep &#91;volby&#93; regexp < soubor #nebo
<soubor grep &#91;volby&#93; regexp

---

Všechno je o tom syslogu a nastavení démonů. U démona si nastavíš "facility" a "priority/log level" - když posílá log do syslogu, tak u toho uvede právě tyto dvě věci. Pokud je v Gentoo standardní syslogd, tak to bude vypadat podobně jako u mě:

Kód:

---

#  /etc/syslog.conf    Configuration file for syslogd.
#
#                      For more information see syslog.conf(5)
#                      manpage.

#
# First some standard logfiles.  Log by facility.
#

auth,authpriv.*                /var/log/auth.log
*.*;auth,authpriv.none          -/var/log/syslog
#cron.*                        /var/log/cron.log
daemon.*                        -/var/log/daemon.log
kern.*                          -/var/log/kern.log
lpr.*                          -/var/log/lpr.log
mail.*                          -/var/log/mail.log
user.*                          -/var/log/user.log
uucp.*                          /var/log/uucp.log

#
# Logging for the mail system.  Split it up so that
# it is easy to write scripts to parse these files.
#
mail.info                      -/var/log/mail.info
mail.warn                      -/var/log/mail.warn
mail.err                        /var/log/mail.err

---

Základní formát je:

Kód:

---

facility.priority        kam_logovat

---

Podrobnosti skoro neznám, nicméně na to, co potřebuješ, bohatě stačí pochopit funkci toho základu. ;-)

Ja mam v gentoo syslog-ng a jeto syntaxy vubec nepobiram, viz /etc/syslog-ng/syslog-ng.conf:

Kód:

---

# $Header: /var/cvsroot/gentoo-x86/app-admin/syslog-ng/files/syslog-ng.conf.gentoo,v 1.5 2005/05/12 05:46:10 mr_bones_ Exp $
#
# Syslog-ng default configuration file for Gentoo Linux
# contributed by Michael Sterrett

options {
        chain_hostnames(off);
        sync(0);

        # The default action of syslog-ng 1.6.0 is to log a STATS line
        # to the file every 10 minutes.  That's pretty ugly after a while.
        # Change it to every 12 hours so you get a nice daily update of
        # how many messages syslog-ng missed (0).
        stats(43200);
};

source src { unix-stream("/dev/log"); internal(); pipe("/proc/kmsg"); };

destination messages { file("/var/log/messages"); };

# By default messages are logged to tty12...
destination console_all { file("/dev/tty12"); };
# ...if you intend to use /dev/console for programs like xconsole
# you can comment out the destination line above that references /dev/tty12
# and uncomment the line below.
#destination console_all { file("/dev/console"); };

log { source(src); destination(messages); };
log { source(src); destination(console_all); };

---

Tak to je zrada, syslog-ng jsem nikdy neviděl. Ale vyhrabal jsem ukázku syslog-ng, která je dobře okomentovaná a v jednom místě srovnává systaxi syslogu a -ng:

http://www.campin.net/syslog-ng/debi...syslog-ng.conf

Diky za trpelivost, mrknu na to.

No nakonec jsem to udelal ak ze jsem pouzil konfigurak ze stranky:
http://www.gentoo.org/doc/en/securit...ap=3#doc_chap4

A loguje to do /var/log/auth.log ;)

Citace:

---

Původně odeslal dekon

No do /var/log/lastlog to zapise IP z ktere se prihlasim naposledy ale jedinej log co to dela.

Hmm tak to vypada ze to normalne loguje do /var/log/messages:

Kód:

---

Dec  3 10:31:25 gentoo sshd(pam_unix)[20011]: authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=66.188.182.36

---

EDIT: Chtel jsem pouzit ten skript BlockHosts, ale v systemu vubec nemam soubor /etc/hosts.deny, mam ho normalne vytvorit rucne ?

---

mel bys tam mit:
/etc/hosts
/etc/hosts.allow
/etc/hosts.deny

BlockHosts blokuje pomoci hosts.deny

Je zvlastni, ze tam ten soubor nemas, ja ho mel v kazde instalaci L od zacatku

/etc/hosts mam, zbytek jsem vytvoril rucne a funguje to, zda se ;)

Citace:

---

Původně odeslal Rainbow

Kedze sa ako root normalne neprihlasujem, tak to vypinam. Co keby niekto uhadol heslo? Sice dost nepravdepodobne pri takej dlzke, ale je to nastavene za par sekund, tak preco to nepouzit...

---

Ne to je kvuli tomu, ze kdyz se ti tam nekdo nahodou prihlasi jako root tak nevis kdo to byl, kdezto kdyz se prihlasi jako obyc user a pak da "su -" (bez te pomlcky lze imho podvrhnout jiny shell) a poznas o jakeho usera slo (pokud je ten system viceuzivatelsky)

Kdepak, dela se to proto, ze by musel uhadnout hesla 2 a kdyz ti nabori user acc, tak mas nejakej time, ve kterym to nejspis zjistis a ten acc locknes (nebo na nej pripravis past). Navic se vetsinou musi seznamit se systemem a to taky nejakou dobu trva. To ze by se ti snail naborit roota beznej user z vlastniho acc je velmi nepravdepodobny.