Детали попытки входа в SSH
В моем офисе мы используем Ubuntu Server 12.04. Я установил на нем SSH-сервер для доступа клиентов через Putty.
Теперь мне нужно отследить данные для входа в систему, такие как IP-адрес, имя хоста и дату входа.
Можно ли отследить эту информацию, и если да, то как?
2 ответа
у вас уже должна быть вся эта информация в файле журнала sshd или даже в файле /var/log/syslog.
Что вы можете попытаться увидеть, какой тип журнала генерируется sshd, найти использование журнала им, читая файл конфигурации в /etc/ssh/sshd.conf (не уверен в имени файла), как только вы найдете, какой файл заполняется демоном.
Используйте команду tail -f /path/to/log/file и попытайтесь войти, вы должны увидеть много информации о попытке входа в систему.
Вы можете использовать команду last для просмотра предыдущих входов в систему - это:
last -adw
сгенерирует такие строки:
USERNAME pts/0 Wed Jan 29 10:18 still logged in 192.168.1.?
USERNAME pts/0 Wed Jan 29 10:06 - 10:07 (00:00) 192.168.1.?
Где, USERNAME, точка доступа , дата и время, а также IP-адреса отображаются. Это должно работать до тех пор, пока тот, кто вошел в систему, не сотрет эти журналы:
/var/log/wtmp
/var/log/btmp
Но для этого им потребуется пароль root.