Y a-t-il un journal sur les serveurs CentOS qui enregistre chaque connexion entrante/sortante?
donc quelque chose comme un journal centralisé des connexions
Réponses
Trop de publicités?
Sven
Points
10540
Le seul moyen sûr d'obtenir un journal centralisé unique de toutes les connexions TCP serait d'ajouter des règles LOG à votre configuration de pare-feu logiciel iptables qui enregistreraient tout paquet avec les bits SYN et ACK définis, c'est-à-dire le deuxième paquet de toute connexion TCP. Ceux-ci apparaîtraient comme des messages de journal du noyau dans /var/log/messages par défaut.
Veuillez consulter cette question sur Server Fault.SE.
Essentiellement, vous voudriez ajouter des règles iptables comme ceci :
iptables -A OUTPUT -p tcp --tcp-flags SYN,ACK SYN,ACK -j LOG --log-prefix "Connexion entrante établie : "
iptables -A INPUT -p tcp --tcp-flags SYN,ACK SYN,ACK -j LOG --log-prefix "Connexion sortante établie : "(Vous voudrez peut-être placer ces règles dans votre jeu de règles existant afin qu'elles ne s'appliquent pas à l'interface de bouclage, car cela pourrait générer deux entrées pour chaque connexion locale entre les processus d'application à l'intérieur de l'hôte.)
Et oui, la règle dans la chaîne OUTPUT enregistre les connexions entrantes et vice versa, car cela ne journalisera que les connexions auxquelles on répond réellement : enregistrer seulement les paquets SYN enregistrerait également les tentatives de connexion qui seront rejetées. En raison des balayages de ports exécutés par des systèmes infectés par des logiciels malveillants sur Internet, cela vous donnerait souvent un grand nombre d'entrées de journal inutiles : vous devriez vérifier avec d'autres journaux, pour constater que soit vous n'avez pas du tout ce service en cours d'exécution, soit que la connexion a été rejetée par une autre règle iptables ou par le service en question.
Pour les protocoles UDP, c'est plus délicat, car l'UDP est sans connexion et essentiellement juste une plate-forme sur laquelle un protocole spécifique à une application peut être construit. Il n'y a donc pas de moyen facile de détecter "le premier paquet d'une connexion" ou quelque chose comme ça, car tout cela sera entièrement spécifique à l'application.
Diagon
Points
676
Je pense que cela devrait le faire :
journalctl -fu sshdou
journalctl -u sshd -n 100C'est-à-dire, si vous exécutez systemd, ce qui est je pense par défaut. Le premier gardera un œil. Le second est équivalent à passer par la commande tail.
(D'après ce que j'ai lu, il semblerait que les journaux devraient en fait se trouver dans /var/log/secure)
