Registro de intentos de acceso SSH

He configurado un servidor ubuntu con openssh para conectarme a él y ejecutar comandos desde un sistema remoto como un teléfono o una computadora portátil. El problema es ... probablemente no soy el único.

¿Hay alguna manera de conocer todos los intentos de inicio de sesión que se han realizado en el servidor?

En los servidores Ubuntu, puede encontrar quién inició sesión cuando (y desde dónde) en el archivo /var/log/auth.log. Allí, encontrará entradas como:

May  1 16:17:02 owl CRON[9019]: pam_unix(cron:session): session closed for user root
May  1 16:17:43 owl sshd[9024]: Accepted publickey for root from 192.168.0.101 port 37384 ssh2
May  1 16:17:43 owl sshd[9024]: pam_unix(sshd:session): session opened for user root by (uid=0)

En distribuciones basadas en Red Hat como Fedora / CentOS / RHEL, puede verificar si los usuarios han iniciado sesión dentro del archivo /var/log/secure.

Si desea obtener más información, lea las preguntas y respuestas de SuperUser tituladas: ¿Cómo puedo registrar los intentos de acceso SSH y realizar un seguimiento de lo que los usuarios SSH terminan haciendo en mi servidor? .

En Ubuntu, puede iniciar sesión a través de SSH y usar el comando de cola de Linux para mostrar la última x cantidad de líneas de su /var/log/auth.logarchivo. Cuando inicie sesión a través de SSH, use el siguiente comando para ver 100 últimas líneas de su registro SSH:

tail /var/log/auth.log -n 100

o incluso más limpio

tail -100 /var/log/auth.log | grep 'sshd'

Tenga en cuenta que la configuración predeterminada en Ubuntu es NO registrar inicios de sesión ssh en el /var/log/autharchivo. Este es el INFOnivel de registro.

Si desea que incluya intentos de inicio de sesión en el archivo de registro, deberá editar el /etc/ssh/sshd_configarchivo (como root o con sudo) y cambiar el LogLevelde INFOa VERBOSE.

Después de eso, reinicie el demonio sshd con

sudo service rsyslog restart

Después de eso, los intentos de inicio de sesión ssh se registrarán en el /var/log/auth.logarchivo.

Mi recomendación es usar auditado . Esto es iniciar sesión utilizando el subsistema de auditoría del kernel de Linux y, en mi opinión, la forma correcta de hacerlo si es serio. Y dada la naturaleza de la pregunta {relacionada con la seguridad}, también debería usar PAM . En el nivel predeterminado de solo haber auditado e instalado PAM , debería obtener automáticamente todos los intentos SSH exitosos y no exitosos registrados en su archivo audit.log. Entonces, realmente no tiene que configurar nada, solo ha auditado y PAM instalado. Sé esto de primera mano para SLES. Y apostaría a RHEL y cualquier otra versión empresarial de Linux funcionaría de manera similar.

http://manpages.ubuntu.com/manpages/precise/man8/auditd.8.html

dentro del registro de auditoría sin procesar generado por auditd , puede usar algo como aureportfiltrarlo, que se describe en las páginas de manual de auditd , escribir su propio analizador de texto o simplemente usar VI y buscar palabras clave.

Aquí hay una excepción de mi /var/log/audit/audit.logarchivo conmigo en mi servidor Linux.

node=shark type=CRED_DISP msg=audit(1480622612.317:2211277): user pid=117768 uid=0 auid=23456 ses=2201 msg='op=PAM:setcred acct="ron" exe="/usr/sbin/sshd" (hostname=abc415.mycompany.us, addr=172.16.152.5, terminal=ssh res=success)'

• de lo anterior, mi nombre de servidor es tiburón .
• muchas líneas como esta están en audit.log, quiero esta basada en exe = "/ usr / sbin / sshd"
• el uid de la cuenta en la que se ingresa es el valor de auid, que es 23456 para este ejemplo
• el nombre de la cuenta de usuario asociada con auid se especifica mediante acct = "ron"
• la mayoría de las veces el sistema de auditoría registrará el nombre de host dns del sistema que intenta conectarse, pero siempre tiene su dirección IP
• la fecha de la entrada que está en tiempo de época, por lo que tendrá que convertirla a través de algo como lo date --date @1480622612.317que resulta Thu Dec 1 15:03:32 EST 2016y es cuando ingresé a mi servidor.

Cuándo res=failedes cuando desea investigar esas direcciones IP y nombres de host para ver qué sistemas intentaban conectarse, bajo qué nombre de usuario intentó. Y, obviamente, el exitoso ssh intenta comprender lo que está sucediendo en su sistema, por ejemplo, su compañero de trabajo Bob que se sienta en el mismo escritorio todos los días con hostname = bobscomputer y dirección IP = 192.168.5.5; Si ve un intento de ssh exitoso a las 2 de la mañana de ayer con su nombre de usuario de la dirección IP 10.10.5.6, por ejemplo, podría serle de su interés hablar con Bob para investigar. ¿Posible intento de pirateo por parte de otra persona? Y poco después, ¿hay intentos de rootear el registro de auditoría desde la cuenta de Bob?

cuando vea repetitivo res=failedy auid=0y acct=rootentonces eso es alguien que trata de ssh en su caja en la cuenta raíz, y es cuando se modifica /etc/hosts.denycon esa dirección IP para sshd.

Sé que esto es antiguo, pero escribí algo para monitorear conexiones / intentos ssh exitosos y fallidos. Además de las direcciones IP prohibidas si está utilizando sshguard. El software está escrito en Python. Le enviará un correo electrónico cuando alguien se conecte con éxito a través de ssh, cuando alguien obtenga la contraseña de ssh de forma incorrecta o cuando alguien sea bloqueado debido a muchos intentos fallidos. ¡Espero que esto ayude a alguien en el futuro que busque este problema y encuentre mi código!

https://github.com/amboxer21/SSHMonitor

Para el script de Python, escribí un script de bash para monitorear el proceso. Comprueba si se ejecuta cada minuto a través de la tarea cron de root. Si no se está ejecutando, inicia otro proceso. El cual es llamado por una tarea cron de root cada minuto.

Lo mejor que he encontrado para el registro de comandos SSH es que esta herramienta permite al administrador obtener todos los comandos de cada sesión con un nivel extenso de registro.

He escrito un script para instalar y configurar ROOTSH en ubuntu y CentOS / RHEL

descargar desde github aquí está el enlace

https://gist.githubusercontent.com/mansurali901/e1e3acc7dca13aeca25b68a69571c60f/raw/b1b16f73ec9a974486e4c0c0d65a7d41f2eca718/setup_rootssh.sh

chmod +x setup_rootssh.sh ; sudo ./setup_rootssh.sh