openssh a logovani pokusu o pripojeni ??

[dekon]

Pokousim se rozjet openssh.
Porad ale nejsem schopnej prijit na to, kam se logujou pokusy o pripojeni

Ve /var/log/ mam akorat lastlogin.

/etc/ssh/sshd_config:

Kód:

# Logging
# obsoletes QuietMode and FascistLogging
SyslogFacility AUTH
LogLevel INFO

do /var/log/messages se me zaloguje jen uspesne pripojeni:

Kód:

Nov 26 13:48:00 gentoo sshd[25996]: Server listening on 0.0.0.0 port 22.
Nov 26 13:57:09 gentoo sshd(pam_unix)[26048]: session opened for user jura by (uid=0)

[Rainbow]

Mne to normalne loguje do /var/log/messages - a permanentne mi to plnia nejake sracky podobnymi vecami:

Kód:

Nov 20 10:10:08 router sshd[24106]: Did not receive identification string from 66.127.183.82
Nov 20 10:22:12 router sshd[24107]: Failed password for root from 66.127.183.82 port 34542 ssh2
Nov 20 10:22:21 router sshd[24109]: Invalid user postgres from 66.127.183.82
Nov 20 10:22:21 router sshd[24109]: Failed password for invalid user postgres from 66.127.183.82 port 35509 ssh2
Nov 20 10:22:31 router sshd[24111]: Invalid user accept from 66.127.183.82
Nov 20 10:22:31 router sshd[24111]: Failed password for invalid user accept from 66.127.183.82 port 36542 ssh2
Nov 20 10:22:40 router sshd[24113]: Invalid user leo from 66.127.183.82
Nov 20 10:22:41 router sshd[24113]: Failed password for invalid user leo from 66.127.183.82 port 37707 ssh2
Nov 20 10:22:52 router sshd[24115]: Invalid user zeppelin from 66.127.183.82
Nov 20 10:22:52 router sshd[24115]: Failed password for invalid user zeppelin from 66.127.183.82 port 39223 ssh2

[Wohmatak]

zkus dat LogLevel VERBOSE
popr. hod vypis ps ax, at je videt, s jakyma parametrama se to pousti

[Rainbow]

LogLevel mam default (= INFO), rovnako ako takmer vsetky ostatne nastavenia. Ale Slackware nema PAM, tak tam mozu byt nejake rozdiely v spravani.

[Airwolf]

Mne to normalne loguje do /var/log/messages - a permanentne mi to plnia nejake sracky podobnymi vecami:

Kód:

Nov 20 10:10:08 router sshd[24106]: Did not receive identification string from 66.127.183.82
Nov 20 10:22:12 router sshd[24107]: Failed password for root from 66.127.183.82 port 34542 ssh2
Nov 20 10:22:21 router sshd[24109]: Invalid user postgres from 66.127.183.82
Nov 20 10:22:21 router sshd[24109]: Failed password for invalid user postgres from 66.127.183.82 port 35509 ssh2
Nov 20 10:22:31 router sshd[24111]: Invalid user accept from 66.127.183.82
Nov 20 10:22:31 router sshd[24111]: Failed password for invalid user accept from 66.127.183.82 port 36542 ssh2
Nov 20 10:22:40 router sshd[24113]: Invalid user leo from 66.127.183.82
Nov 20 10:22:41 router sshd[24113]: Failed password for invalid user leo from 66.127.183.82 port 37707 ssh2
Nov 20 10:22:52 router sshd[24115]: Invalid user zeppelin from 66.127.183.82
Nov 20 10:22:52 router sshd[24115]: Failed password for invalid user zeppelin from 66.127.183.82 port 39223 ssh2

tohle same je v logu pro Debian. Nebavilo me pridavad IPcka do hosts.deny, tak jsem si stahnul a nastavil BlockHosts a od te doby mam klid

btw: debian to loguje do /var/log/auth.log

[Fox!MURDER]

este je otazka jakej loglevel logujes do messages ...

[dekon]

To zjistim jak ?

Jinak diky za rady, vyzkousim to az budu doma, ssh server jsem zatim pustenej nenechal, dokud to nezacne logovat a jeste musim sestavit nejaky fw

[Jezevec]

To zjistim jak ?

Jinak diky za rady, vyzkousim to az budu doma, ssh server jsem zatim pustenej nenechal, dokud to nezacne logovat a jeste musim sestavit nejaky fw

V nastaveni svyho logovaciho demona . Melo by tam bejt co a akm se loguje.

[David Jaša]

tazatel: /var/log/auth.log, /etc/syslog.conf, /etc/ssh/sshd_config a man stránky k těm konfigurákům.

Rainbow:

Kód:

PermitRootLogin No

v /etc/ssh/sshd_config a je pokoj...

[Rainbow]

Rainbow:

Kód:

PermitRootLogin No

v /etc/ssh/sshd_config a je pokoj...

To mam samozrejme nastavene, bez toho nikde nepustam SSH von.

[TimeLord]

Rainbow:

Kód:

PermitRootLogin No

v /etc/ssh/sshd_config a je pokoj...

To mam samozrejme nastavene, bez toho nikde nepustam SSH von.

Preco bez toho nie ? Moje servery aj vonku na nete maju root login povoleny a nemam problem. Nedostane sa tam nikto.

[Rainbow]

Kedze sa ako root normalne neprihlasujem, tak to vypinam. Co keby niekto uhadol heslo? Sice dost nepravdepodobne pri takej dlzke, ale je to nastavene za par sekund, tak preco to nepouzit...

[TimeLord]

Moj nazor je ze ked sa necha ssh aby overovalo heslo tak je bezpecnost nutne zabezpecovat dalsimi vacsinou komplikovanymi metodami ktore sa mozu obratit aj voci administratorovi serveru, napr. ked sa chce pripojit z nestandardnej IP adresy atd.. Pouzivam ssh dsa keys takze 25 znakove nahodne heslo roota si nemusim pamatat ani zapisovat a prihlasim sa odkial chcem a kedy chcem bez toho aby som ohrozil bezpecnost serveru.

[TimeLord]

Kedze sa ako root normalne neprihlasujem, tak to vypinam. Co keby niekto uhadol heslo? Sice dost nepravdepodobne pri takej dlzke, ale je to nastavene za par sekund, tak preco to nepouzit...

A co sa tyka hadania hesla.. tvoj sposob vyzaduje dbat na to aby kazdy user mal kvalitne heslo lebo ked je hociktory user prelomeny tak je uz len otazka casu kedy sa hackne server, aj bez toho aby sa lamalo root heslo.

[dekon]

syslog-ng.conf.

Kód:

# $Header: /var/cvsroot/gentoo-x86/app-admin/syslog-ng/files/syslog-ng.conf.gen$#
# Syslog-ng default configuration file for Gentoo Linux
# contributed by Michael Sterrett

options {
        chain_hostnames(off);
        sync(0);

        # The default action of syslog-ng 1.6.0 is to log a STATS line
        # to the file every 10 minutes.  That's pretty ugly after a while.
        # Change it to every 12 hours so you get a nice daily update of
        # how many messages syslog-ng missed (0).
        stats(43200);
};

source src { unix-stream("/dev/log"); internal(); pipe("/proc/kmsg"); };

destination messages { file("/var/log/messages"); };

# By default messages are logged to tty12...
destination console_all { file("/dev/tty12"); };
# ...if you intend to use /dev/console for programs like xconsole
# you can comment out the destination line above that references /dev/tty12
# and uncomment the line below.
#destination console_all { file("/dev/console"); };

log { source(src); destination(messages); };
log { source(src); destination(console_all); };

ps ax

Kód:

8519 ?        Ss     0:00 /usr/sbin/sshd

EDIT: vytvoril jsem rucne soubor /var/log/auth.log a nic se do nej nezapisuje

[Jezevec]

Kedze sa ako root normalne neprihlasujem, tak to vypinam. Co keby niekto uhadol heslo? Sice dost nepravdepodobne pri takej dlzke, ale je to nastavene za par sekund, tak preco to nepouzit...

Lepsi je sebou nosit na USB klic (samo s najekym heslem), pak se muze nekdo snazit hadat neslo jak chce, bez klice se stejne nepripoji.

2dekon: A ses si jistej, ze to ti sshd posila vubec nejaky logy ?

[dekon]

No do /var/log/lastlog to zapise IP z ktere se prihlasim naposledy ale jedinej log co to dela.

Hmm tak to vypada ze to normalne loguje do /var/log/messages:

Kód:

Dec  3 10:31:25 gentoo sshd(pam_unix)[20011]: authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=66.188.182.36

EDIT: Chtel jsem pouzit ten skript BlockHosts, ale v systemu vubec nemam soubor /etc/hosts.deny, mam ho normalne vytvorit rucne ?

[dekon]

Jak nastavim presmerovani logu sshd deamona treba do /var/log/sshd.log ?

[David Jaša]

Jak nastavim presmerovani logu sshd deamona treba do /var/log/sshd.log ?

1. Nestačí ti logy sshd ve /var/log/auth.log?
2. Pokud ne, podíval ses do těch man stránek?

Hint: facility, priority

[dekon]

Jak nastavim presmerovani logu sshd deamona treba do /var/log/sshd.log ?

1. Nestačí ti logy sshd ve /var/log/auth.log?
2. Pokud ne, podíval ses do těch man stránek?

Hint: facility, priority

ad 1) do /var/log/auth.log se me logy sshd neposilaji, vsechno se cpe do /var/log/messages
ad 2) myslis man sshd_config ?

Jsem tupej => nasel jsem:

SyslogFacility
Gives the facility code that is used when logging messages from
sshd. The possible values are: DAEMON, USER, AUTH, LOCAL0,
LOCAL1, LOCAL2, LOCAL3, LOCAL4, LOCAL5, LOCAL6, LOCAL7. The
default is AUTH.

Ale nevim jaky nastaveni je nejukecanejsi a hlavne jak docilim toho, aby se logy sshd posilaly treba do /var/log/auth.log.

EDIT : logovani sshd deamona jsem vyresil zatim ponekud krkolome :
cat /var/log/messages | grep sshd > /var/log/auth.log

[David Jaša]

ad 1) do /var/log/auth.log se me logy sshd neposilaji, vsechno se cpe do /var/log/messages
ad 2) myslis man sshd_config ?

oboji: man syslog.conf

Jsem tupej => nasel jsem:

SyslogFacility
Gives the facility code that is used when logging messages from
sshd. The possible values are: DAEMON, USER, AUTH, LOCAL0,
LOCAL1, LOCAL2, LOCAL3, LOCAL4, LOCAL5, LOCAL6, LOCAL7. The
default is AUTH.

Ale nevim jaky nastaveni je nejukecanejsi a hlavne jak docilim toho, aby se logy sshd posilaly treba do /var/log/auth.log.

Seš na správné stopě. Teď ještě tu prioritu/log-level u démona a zpracování u syslogu.

EDIT : logovani sshd deamona jsem vyresil zatim ponekud krkolome :
cat /var/log/messages | grep sshd > /var/log/auth.log

Na tom je krkolomnej už ten cat:

Kód:

grep [volby] regexp soubor #nebo
grep &#91;volby&#93; regexp < soubor #nebo
<soubor grep &#91;volby&#93; regexp

Všechno je o tom syslogu a nastavení démonů. U démona si nastavíš "facility" a "priority/log level" - když posílá log do syslogu, tak u toho uvede právě tyto dvě věci. Pokud je v Gentoo standardní syslogd, tak to bude vypadat podobně jako u mě:

Kód:

#  /etc/syslog.conf     Configuration file for syslogd.
#
#                       For more information see syslog.conf(5)
#                       manpage.

#
# First some standard logfiles.  Log by facility.
#

auth,authpriv.*                 /var/log/auth.log
*.*;auth,authpriv.none          -/var/log/syslog
#cron.*                         /var/log/cron.log
daemon.*                        -/var/log/daemon.log
kern.*                          -/var/log/kern.log
lpr.*                           -/var/log/lpr.log
mail.*                          -/var/log/mail.log
user.*                          -/var/log/user.log
uucp.*                          /var/log/uucp.log

#
# Logging for the mail system.  Split it up so that
# it is easy to write scripts to parse these files.
#
mail.info                       -/var/log/mail.info
mail.warn                       -/var/log/mail.warn
mail.err                        /var/log/mail.err

Základní formát je:

Kód:

facility.priority         kam_logovat

Podrobnosti skoro neznám, nicméně na to, co potřebuješ, bohatě stačí pochopit funkci toho základu.

[dekon]

Ja mam v gentoo syslog-ng a jeto syntaxy vubec nepobiram, viz /etc/syslog-ng/syslog-ng.conf:

Kód:

# $Header: /var/cvsroot/gentoo-x86/app-admin/syslog-ng/files/syslog-ng.conf.gentoo,v 1.5 2005/05/12 05:46:10 mr_bones_ Exp $
#
# Syslog-ng default configuration file for Gentoo Linux
# contributed by Michael Sterrett

options {
        chain_hostnames(off);
        sync(0);

        # The default action of syslog-ng 1.6.0 is to log a STATS line
        # to the file every 10 minutes.  That's pretty ugly after a while.
        # Change it to every 12 hours so you get a nice daily update of
        # how many messages syslog-ng missed (0).
        stats(43200);
};

source src { unix-stream("/dev/log"); internal(); pipe("/proc/kmsg"); };

destination messages { file("/var/log/messages"); };

# By default messages are logged to tty12...
destination console_all { file("/dev/tty12"); };
# ...if you intend to use /dev/console for programs like xconsole
# you can comment out the destination line above that references /dev/tty12
# and uncomment the line below.
#destination console_all { file("/dev/console"); };

log { source(src); destination(messages); };
log { source(src); destination(console_all); };

[David Jaša]

Tak to je zrada, syslog-ng jsem nikdy neviděl. Ale vyhrabal jsem ukázku syslog-ng, která je dobře okomentovaná a v jednom místě srovnává systaxi syslogu a -ng:

http://www.campin.net/syslog-ng/debi...syslog-ng.conf

[dekon]

Diky za trpelivost, mrknu na to.

[dekon]

No nakonec jsem to udelal ak ze jsem pouzil konfigurak ze stranky:
http://www.gentoo.org/doc/en/securit...ap=3#doc_chap4

A loguje to do /var/log/auth.log