1 votes

user470866 avatar

Linux SSH audit pour l'échec de la connexion de root

Demandé el 22 de Mai, 2018
Quand la question a-t-elle été
682 affichage
Nombre de visites la question a
2 Réponses
Nombre de réponses aux questions
Résolu
Situation réelle de la question

Supposons qu'il existe deux serveurs (serveur A et serveur B). Je constate que la tentative de connexion de root ssh a échoué du serveur A au serveur B. ssh pour la connexion de root a été désactivé pour les deux serveurs.

Je voudrais connaître l'historique de toutes les commandes du serveur A, c'est-à-dire trouver tous les utilisateurs qui ont exécuté ssh dans le serveur A.

Ou

Ajoutez un audit dans le serveur B de manière à ce que le message du journal montre l'identifiant de l'OS du serveur A qui a essayé de faire un ssh avec le root de A.

Exemple : L'utilisateur 1 est présent sur le serveur A et tente de se connecter au serveur B en tant que root avec des tentatives de connexion infructueuses. Le journal du serveur B devrait afficher l'échec du ssh pour root, provenant du serveur A par l'utilisateur user1.

Note : Personne ne peut se connecter au serveur A en dehors de l'administrateur. Il n'y a pas non plus d'entrées crontabs sur le serveur A. Je soupçonne le paquetage du fournisseur qui a été installé sur le serveur A d'effectuer un ssh via root sur le serveur B car les deux font partie d'un cluster.

Demandé el 22 de Mai, 2018 par user470866

Réponses

Trop de publicités?

1voto

CaptAintHere avatar
CaptAintHere Points 21

Je voudrais connaître l'historique des commandes du serveur A, c'est-à-dire trouver tous les utilisateurs qui ont exécuté ssh sur le serveur A.

Comme l'a dit Gilles à ce sujet sujet vous pouvez utiliser :

getent passwd | cut -d : -f 6 | sed 's:$:/.bash_history:' | xargs -d '\n' grep -s -H -e "ssh"

Ajouter l'audit dans le serveur B de telle sorte que le message de journal montrera l'identification de l'OS du serveur A qui a essayé de faire ssh avec root de A.

Quel est le but de montrer l'identifiant de l'OS ? Et quel est cet identifiant ?

Répondu el 22 de Mai, 2018 par CaptAintHere (21 Points )

1voto

snowdude avatar
snowdude Points 2790

À moins que vous n'ayez pré-configuré l'audit avec auditd (pour enregistrer les appels à l'un ou l'autre des services suivants spécifiquement le client ssh o tous les exécutables/commandes ), il est peu probable que vous disposiez déjà d'un journal complet de tous les événements passés sur ce serveur particulier.

Vos admins peuvent avoir commis par erreur un sudo ssh server-B et cette action devrait être enregistrée (selon votre distribution) dans le fichier /var/log/[authlog | secure] .

Vous pourriez vérifier le ~/.bash_history de vos utilisateurs, mais cela n'aura qu'un enregistrement des actions de l'utilisateur dans les sessions de connexion interactives et n'enregistrera rien lorsque l'utilisateur outrepasse la collecte de l'historique des commandes ou lorsque les sessions ssh ont été par exemple initiées par un script.

Répondu el 22 de Mai, 2018 par snowdude (2790 Points )

Questions en vedette

Top Tags

Dans notre réseau

SistemesEz.com

SystemesEZ est une communauté de sysadmins où vous pouvez résoudre vos problèmes et vos doutes. Vous pouvez consulter les questions des autres sysadmins, poser vos propres questions ou résoudre celles des autres.

Powered by:

Yandex
X