Как я могу проверять пользователей и попытки доступа к SSH на моем сервере?

Question 1

У меня была такая же проблема после установки Ubuntu 15.10. Переустановка bash-completion работала для меня:

sudo apt-get install --reinstall bash-completion

Question 2

Говоря о SSH-серверах, я дам вам решения для командной строки.

Отслеживать логины и выход из системы. Это легко, файл /var/log/auth.log должен иметь эту информацию. Отслеживайте активность этих пользователей: если они несколько не присутствуют, вы можете проверить файл .bash_history в своем домашнем каталоге. Вы увидите список команд, которые они выполнили. Проблема, конечно, в том, что они могут удалить или отредактировать этот файл. Запретить пользователям удалять журналы: пользователям не удастся коснуться auth.log. Чтобы они не играли с bas_history, вам нужно сделать несколько трюков. Что делать, если пользователю удастся получить root-доступ? : Ты пьян. Если он не допустит ошибку, он сможет скрыть все его шаги.

Question 3

Question 4

Поскольку мы говорим о SSH-серверах, я дам вам решения командной строки.

Отслеживать логины и выход из системы. Это легко, файл /var/log/auth.log должен иметь эту информацию. Отслеживайте активность этих пользователей: если они довольно невинны, вы можете проверить файл .bash_history в своем домашнем каталоге. Вы увидите список команд, которые они выполнили. Проблема, конечно, в том, что они могут удалить или отредактировать этот файл. Запретить пользователям удалять журналы: пользователям не удастся коснуться auth.log. Чтобы остановить игру от .bash_history, вам нужно сделать несколько трюков. Что делать, если пользователю удастся получить root-доступ? : Ты пьян. Если они не ошибутся, они смогут скрыть все их шаги.

Question 5

Поскольку мы говорим о SSH-серверах, я дам вам решения командной строки.

Отслеживать логины и выход из системы. Это легко, файл /var/log/auth.log должен иметь эту информацию. Отслеживайте активность этих пользователей: если они довольно невинны, вы можете проверить файл .bash_history в своем домашнем каталоге. Вы увидите список команд, которые они выполнили. Проблема, конечно, в том, что они могут удалить или отредактировать этот файл. Запретить пользователям удалять журналы: пользователям не удастся коснуться auth.log. Чтобы остановить игру от .bash_history, вам нужно сделать несколько трюков. Что делать, если пользователю удастся получить root-доступ? : Ты пьян. Если они не ошибутся, они смогут скрыть все их шаги.

Question 6

Поскольку мы говорим о SSH-серверах, я дам вам решения командной строки.

Отслеживать логины и выход из системы. Это легко, файл /var/log/auth.log должен иметь эту информацию. Отслеживайте активность этих пользователей: если они довольно невинны, вы можете проверить файл .bash_history в своем домашнем каталоге. Вы увидите список команд, которые они выполнили. Проблема, конечно, в том, что они могут удалить или отредактировать этот файл. Запретить пользователям удалять журналы: пользователям не удастся коснуться auth.log. Чтобы остановить игру от .bash_history, вам нужно сделать несколько трюков. Что делать, если пользователю удастся получить root-доступ? : Ты пьян. Если они не ошибутся, они смогут скрыть все их шаги.

Question 7

Question 8

Поскольку мы говорим о SSH-серверах, я дам вам решения командной строки.

Отслеживать логины и выход из системы. Это легко, файл /var/log/auth.log должен иметь эту информацию. Отслеживайте активность этих пользователей: если они довольно невинны, вы можете проверить файл .bash_history в своем домашнем каталоге. Вы увидите список команд, которые они выполнили. Проблема, конечно, в том, что они могут удалить или отредактировать этот файл. Запретить пользователям удалять журналы: пользователям не удастся коснуться auth.log. Чтобы остановить игру от .bash_history, вам нужно сделать несколько трюков. Что делать, если пользователю удастся получить root-доступ? : Ты пьян. Если они не ошибутся, они смогут скрыть все их шаги.

Question 9

Поскольку мы говорим о SSH-серверах, я дам вам решения для командной строки.

Отслеживать логин и выход из системы. Это легко, файл /var/log/auth.log должен иметь эту информацию.
Отслеживать активность этих пользователей: если они довольно невинны, вы можете проверить файл .bash_history в их домашнем каталоге. Вы увидите список команд, которые они выполнили. Проблема состоит в том, что они могут удалить или отредактировать этот файл.
Запретить пользователям удалять журналы: пользователям не удастся коснуться auth.log . Чтобы остановить игру от .bash_history , вам нужно сделать пару трюков .
Что делать, если пользователю удастся получить доступ root? : Ты пьян. Если они ошибаются, они смогут скрыть все их шаги.

Question 10

Поскольку мы говорим о SSH-серверах, я дам вам решения для командной строки.

Отслеживать логин и выход из системы. Это легко, файл /var/log/auth.log должен иметь эту информацию.
Отслеживать активность этих пользователей: если они довольно невинны, вы можете проверить файл .bash_history в их домашнем каталоге. Вы увидите список команд, которые они выполнили. Проблема состоит в том, что они могут удалить или отредактировать этот файл.
Запретить пользователям удалять журналы: пользователям не удастся коснуться auth.log . Чтобы остановить игру от .bash_history , вам нужно сделать пару трюков .
Что делать, если пользователю удастся получить доступ root? : Ты пьян. Если они ошибаются, они смогут скрыть все их шаги.

Question 11

Поскольку мы говорим о SSH-серверах, я дам вам решения для командной строки.

Отслеживать логин и выход из системы. Это легко, файл /var/log/auth.log должен иметь эту информацию.
Отслеживать активность этих пользователей: если они довольно невинны, вы можете проверить файл .bash_history в их домашнем каталоге. Вы увидите список команд, которые они выполнили. Проблема состоит в том, что они могут удалить или отредактировать этот файл.
Запретить пользователям удалять журналы: пользователям не удастся коснуться auth.log . Чтобы остановить игру от .bash_history , вам нужно сделать пару трюков .
Что делать, если пользователю удастся получить доступ root? : Ты пьян. Если они ошибаются, они смогут скрыть все их шаги.

Question 12

Поскольку мы говорим о SSH-серверах, я дам вам решения для командной строки.

Отслеживать логин и выход из системы. Это легко, файл /var/log/auth.log должен иметь эту информацию.
Отслеживать активность этих пользователей: если они довольно невинны, вы можете проверить файл .bash_history в их домашнем каталоге. Вы увидите список команд, которые они выполнили. Проблема состоит в том, что они могут удалить или отредактировать этот файл.
Запретить пользователям удалять журналы: пользователям не удастся коснуться auth.log . Чтобы остановить игру от .bash_history , вам нужно сделать пару трюков .
Что делать, если пользователю удастся получить доступ root? : Ты пьян. Если они ошибаются, они смогут скрыть все их шаги.

Question 13

Question 14

Поскольку мы говорим о SSH-серверах, я дам вам решения для командной строки.

Отслеживать логин и выход из системы. Это легко, файл /var/log/auth.log должен иметь эту информацию.
Отслеживать активность этих пользователей: если они довольно невинны, вы можете проверить файл .bash_history в их домашнем каталоге. Вы увидите список команд, которые они выполнили. Проблема состоит в том, что они могут удалить или отредактировать этот файл.
Запретить пользователям удалять журналы: пользователям не удастся коснуться auth.log . Чтобы остановить игру от .bash_history , вам нужно сделать пару трюков .
Что делать, если пользователю удастся получить доступ root? : Ты пьян. Если они ошибаются, они смогут скрыть все их шаги.

Question 15

Поскольку мы говорим о SSH-серверах, я дам вам решения для командной строки.

Отслеживать логин и выход из системы. Это легко, файл /var/log/auth.log должен иметь эту информацию.
Отслеживать активность этих пользователей: если они довольно невинны, вы можете проверить файл .bash_history в их домашнем каталоге. Вы увидите список команд, которые они выполнили. Проблема состоит в том, что они могут удалить или отредактировать этот файл.
Запретить пользователям удалять журналы: пользователям не удастся коснуться auth.log . Чтобы остановить игру от .bash_history , вам нужно сделать пару трюков .
Что делать, если пользователю удастся получить доступ root? : Ты пьян. Если они ошибаются, они смогут скрыть все их шаги.

Question 16

[ОТКАЗ ОТ ОТВЕТСТВЕННОСТИ] Я понимаю, что опаздываю на вечеринку, но я хотел бы вставить ответ, который я дал другому вопросу, потому что я чувствую, что он может предложить хорошее понимание читателям, и этот вопрос кажется

Была аналогичная проблема, которая поразила меня после чтения другим вопросом здесь, на AskUbuntu и проверке моего VPS, только чтобы увидеть bazillion попыток грубой силы. Именно тогда я решил принять меры.

Теперь в соответствии с вопросом, с которым я связан, если вы хотите увидеть неудачные попытки входа в систему на вашем компьютере по сравнению с ssh (могут быть попытки грубой силы или что-то еще), попробуйте ввести следующее:

grep sshd.\*Failed /var/log/auth.log | less

Если вывод состоит из нескольких строк, это много попыток грубой силы, особенно если они произошли между короткими интервалами, вы можете сделать следующие действия:

Измените конфигурацию ssh file

Для этого откройте файл, расположенный в [DISCLAIMER] , с вашим любимым редактором, например vim /etc/ssh/sshd_config.

1. Попробуйте переместить ssh из порта 22: Теперь найдите строку, которая читает:

# What ports, IPs and protocols we listen for
Port 22

и закомментирует порт 22, и используйте любого, кого вы можете. Пример:

# What ports, IPs and protocols we listen for
# Port 22
Port 28934

1. Попробуйте переместить ssh из порта 22 Я не знаю, как это может помешать ему, но я просто говорю.

2. Отключить корневые логины через ssh: поскольку имя пользователя root является предсказуемым и обеспечивает полный доступ к вашей системе, предоставление неограниченного доступа к этой учетной записи через SSH неразумно. Найдите строку чтения PermitRootLogin и установите ее на нет.

PermitRootLogin no

2. Отключите корневые логины через ssh : создайте и используйте SSH-ключи для входа в систему. Без использования паролей злоумышленники должны угадать (или украсть) ваш закрытый ключ SSH, чтобы получить доступ к вашему серверу. Что-то очень сложное. Продолжайте искать строку, которая читает PermitRootLogin и не задает ее

PasswordAuthentication no

Сгенерировать и использовать SSH-ключи Прежде чем это сделать, обратитесь к этому руководству здесь, как настроить аутентификацию сертификата.

ПРИМЕЧАНИЕ. После внесения изменений используйте sudo /etc/init.d/ssh restart. Чтобы подключиться к другому порту с помощью ssh, используйте: ssh username@hostname.com -p <port_number>.

Установите брандмауэр

Пожалуйста, посмотрите здесь о том, как настроить чрезвычайно мощный и эффективный брандмауэр, интегрированный в Linux, ПРИМЕЧАНИЕ: .

Сценарии установки, которые помогут вам с безопасностью

. Я использую лично и быстро ум - Fail2Ban. Fail2ban будет отслеживать ваши файлы журналов для неудачных попыток входа в систему. После того, как IP-адрес превысил максимальное количество попыток аутентификации, он будет заблокирован на сетевом уровне, и событие будет зарегистрировано в /var/log/fail2ban.log. Чтобы установить его: sudo apt-get install fail2ban

Проверить историю команд с помощью ssh

Существует команда linux с именем history, которая позволяет вам видеть, какие команды были введены до этого точка. Попробуйте ввести history в терминал, чтобы просмотреть все команды до этой точки.

root try: history | grep command-name

Чтобы просмотреть все команды после ssh: fc -l ssh

Вы также можете перечислить все команды после ssh (не пробовал это vim, хотя я предполагаю, что он работает также): fc -e vi

Вы также можете удалить history: history -c

удалить историю Если вы не являетесь поклонником команды history, в вашем домашнем каталоге также есть файл (cd ~), который называется no (если вы используете bash), чтобы вы могли cat видеть все, что было введено в оболочке bash.

Question 17

Немного перебор, но вы можете увидеть все, что запускается в вашей системе, используя «соединитель событий процесса»:

http://www.outflux.net/blog/archives/2010/07 / 01 / отчетно-все-Execs /

Question 18

Хавьер уже ответил на этот вопрос: /var/log/auth.log. Я нашел замечательную статью об этом здесь. Если ваши пользователи не имеют доступа к корню, ваши файлы журналов должны быть безопасными. Вы можете попытаться создать некоторые пользовательские правила в файле sudoers, чтобы ограничить доступ к вашим пользователям и каким образом. Также вы можете увеличить уровень журнала для демона sshd.

Question 19

Question 20

Помимо входа в систему, нет надежного способа отслеживать / регистрировать действия пользователей после входа в систему, предполагая, что у них есть базовые знания Linux, они смогут отключить ведение журнала оболочки или просто запустить команды из других оболочек (например, python).

Вместо этого вы должны быть консервативны относительно предоставления доступа ssh, действительно ли они действительно нужны? Не очень часто предоставляется доступ к SSH, если вы не находитесь в оболочке, предоставляющей бизнес.

Question 21

[ОТКАЗ ОТ ОТВЕТСТВЕННОСТИ] Я понимаю, что опаздываю на вечеринку, но я хотел бы вставить ответ, который я дал другому вопросу, потому что я чувствую, что он может предложить хорошее понимание читателям, и этот вопрос кажется

Была аналогичная проблема, которая поразила меня после чтения другим вопросом здесь, на AskUbuntu и проверке моего VPS, только чтобы увидеть bazillion попыток грубой силы. Именно тогда я решил принять меры.

Теперь в соответствии с вопросом, с которым я связан, если вы хотите увидеть неудачные попытки входа в систему на вашем компьютере по сравнению с ssh (могут быть попытки грубой силы или что-то еще), попробуйте ввести следующее:

grep sshd.\*Failed /var/log/auth.log | less

Если вывод состоит из нескольких строк, это много попыток грубой силы, особенно если они произошли между короткими интервалами, вы можете сделать следующие действия:

Измените конфигурацию ssh file

Для этого откройте файл, расположенный в [DISCLAIMER] , с вашим любимым редактором, например vim /etc/ssh/sshd_config.

1. Попробуйте переместить ssh из порта 22: Теперь найдите строку, которая читает:

# What ports, IPs and protocols we listen for
Port 22

и закомментирует порт 22, и используйте любого, кого вы можете. Пример:

# What ports, IPs and protocols we listen for
# Port 22
Port 28934

1. Попробуйте переместить ssh из порта 22 Я не знаю, как это может помешать ему, но я просто говорю.

2. Отключить корневые логины через ssh: поскольку имя пользователя root является предсказуемым и обеспечивает полный доступ к вашей системе, предоставление неограниченного доступа к этой учетной записи через SSH неразумно. Найдите строку чтения PermitRootLogin и установите ее на нет.

PermitRootLogin no

2. Отключите корневые логины через ssh : создайте и используйте SSH-ключи для входа в систему. Без использования паролей злоумышленники должны угадать (или украсть) ваш закрытый ключ SSH, чтобы получить доступ к вашему серверу. Что-то очень сложное. Продолжайте искать строку, которая читает PermitRootLogin и не задает ее

PasswordAuthentication no

Сгенерировать и использовать SSH-ключи Прежде чем это сделать, обратитесь к этому руководству здесь, как настроить аутентификацию сертификата.

ПРИМЕЧАНИЕ. После внесения изменений используйте sudo /etc/init.d/ssh restart. Чтобы подключиться к другому порту с помощью ssh, используйте: ssh username@hostname.com -p <port_number>.

Установите брандмауэр

Пожалуйста, посмотрите здесь о том, как настроить чрезвычайно мощный и эффективный брандмауэр, интегрированный в Linux, ПРИМЕЧАНИЕ: .

Сценарии установки, которые помогут вам с безопасностью

. Я использую лично и быстро ум - Fail2Ban. Fail2ban будет отслеживать ваши файлы журналов для неудачных попыток входа в систему. После того, как IP-адрес превысил максимальное количество попыток аутентификации, он будет заблокирован на сетевом уровне, и событие будет зарегистрировано в /var/log/fail2ban.log. Чтобы установить его: sudo apt-get install fail2ban

Проверить историю команд с помощью ssh

Существует команда linux с именем history, которая позволяет вам видеть, какие команды были введены до этого точка. Попробуйте ввести history в терминал, чтобы просмотреть все команды до этой точки.

root try: history | grep command-name

Чтобы просмотреть все команды после ssh: fc -l ssh

Вы также можете перечислить все команды после ssh (не пробовал это vim, хотя я предполагаю, что он работает также): fc -e vi

Вы также можете удалить history: history -c

удалить историю Если вы не являетесь поклонником команды history, в вашем домашнем каталоге также есть файл (cd ~), который называется no (если вы используете bash), чтобы вы могли cat видеть все, что было введено в оболочке bash.

Question 22

Помимо входа в систему, нет надежного способа отслеживать / регистрировать действия пользователей после входа в систему, предполагая, что у них есть базовые знания Linux, они смогут отключить ведение журнала оболочки или просто запустить команды из других оболочек (например, python).

Вместо этого вы должны быть консервативны относительно предоставления доступа ssh, действительно ли они действительно нужны? Не очень часто предоставляется доступ к SSH, если вы не находитесь в оболочке, предоставляющей бизнес.

Question 23

Немного перебор, но вы можете увидеть все, что запускается в вашей системе, используя «соединитель событий процесса»:

http://www.outflux.net/blog/archives/2010/07 / 01 / отчетно-все-Execs /

Question 24

Хавьер уже ответил на этот вопрос: /var/log/auth.log. Я нашел замечательную статью об этом здесь. Если ваши пользователи не имеют доступа к корню, ваши файлы журналов должны быть безопасными. Вы можете попытаться создать некоторые пользовательские правила в файле sudoers, чтобы ограничить доступ к вашим пользователям и каким образом. Также вы можете увеличить уровень журнала для демона sshd.

Question 25

Question 26

[ОТКАЗ ОТ ОТВЕТСТВЕННОСТИ] Я понимаю, что опаздываю на вечеринку, но я хотел бы вставить ответ, который я дал другому вопросу, потому что я чувствую, что он может предложить хорошее понимание читателям, и этот вопрос кажется

Была аналогичная проблема, которая поразила меня после чтения другим вопросом здесь, на AskUbuntu и проверке моего VPS, только чтобы увидеть bazillion попыток грубой силы. Именно тогда я решил принять меры.

Теперь в соответствии с вопросом, с которым я связан, если вы хотите увидеть неудачные попытки входа в систему на вашем компьютере по сравнению с ssh (могут быть попытки грубой силы или что-то еще), попробуйте ввести следующее:

grep sshd.\*Failed /var/log/auth.log | less

Если вывод состоит из нескольких строк, это много попыток грубой силы, особенно если они произошли между короткими интервалами, вы можете сделать следующие действия:

Измените конфигурацию ssh file

Для этого откройте файл, расположенный в [DISCLAIMER] , с вашим любимым редактором, например vim /etc/ssh/sshd_config.

1. Попробуйте переместить ssh из порта 22: Теперь найдите строку, которая читает:

# What ports, IPs and protocols we listen for
Port 22

и закомментирует порт 22, и используйте любого, кого вы можете. Пример:

# What ports, IPs and protocols we listen for
# Port 22
Port 28934

1. Попробуйте переместить ssh из порта 22 Я не знаю, как это может помешать ему, но я просто говорю.

2. Отключить корневые логины через ssh: поскольку имя пользователя root является предсказуемым и обеспечивает полный доступ к вашей системе, предоставление неограниченного доступа к этой учетной записи через SSH неразумно. Найдите строку чтения PermitRootLogin и установите ее на нет.

PermitRootLogin no

2. Отключите корневые логины через ssh : создайте и используйте SSH-ключи для входа в систему. Без использования паролей злоумышленники должны угадать (или украсть) ваш закрытый ключ SSH, чтобы получить доступ к вашему серверу. Что-то очень сложное. Продолжайте искать строку, которая читает PermitRootLogin и не задает ее

PasswordAuthentication no

Сгенерировать и использовать SSH-ключи Прежде чем это сделать, обратитесь к этому руководству здесь, как настроить аутентификацию сертификата.

ПРИМЕЧАНИЕ. После внесения изменений используйте sudo /etc/init.d/ssh restart. Чтобы подключиться к другому порту с помощью ssh, используйте: ssh username@hostname.com -p <port_number>.

Установите брандмауэр

Пожалуйста, посмотрите здесь о том, как настроить чрезвычайно мощный и эффективный брандмауэр, интегрированный в Linux, ПРИМЕЧАНИЕ: .

Сценарии установки, которые помогут вам с безопасностью

. Я использую лично и быстро ум - Fail2Ban. Fail2ban будет отслеживать ваши файлы журналов для неудачных попыток входа в систему. После того, как IP-адрес превысил максимальное количество попыток аутентификации, он будет заблокирован на сетевом уровне, и событие будет зарегистрировано в /var/log/fail2ban.log. Чтобы установить его: sudo apt-get install fail2ban

Проверить историю команд с помощью ssh

Существует команда linux с именем history, которая позволяет вам видеть, какие команды были введены до этого точка. Попробуйте ввести history в терминал, чтобы просмотреть все команды до этой точки.

root try: history | grep command-name

Чтобы просмотреть все команды после ssh: fc -l ssh

Вы также можете перечислить все команды после ssh (не пробовал это vim, хотя я предполагаю, что он работает также): fc -e vi

Вы также можете удалить history: history -c

удалить историю Если вы не являетесь поклонником команды history, в вашем домашнем каталоге также есть файл (cd ~), который называется no (если вы используете bash), чтобы вы могли cat видеть все, что было введено в оболочке bash.

Question 27

Помимо входа в систему, нет надежного способа отслеживать / регистрировать действия пользователей после входа в систему, предполагая, что у них есть базовые знания Linux, они смогут отключить ведение журнала оболочки или просто запустить команды из других оболочек (например, python).

Вместо этого вы должны быть консервативны относительно предоставления доступа ssh, действительно ли они действительно нужны? Не очень часто предоставляется доступ к SSH, если вы не находитесь в оболочке, предоставляющей бизнес.

Question 28

Немного перебор, но вы можете увидеть все, что запускается в вашей системе, используя «соединитель событий процесса»:

http://www.outflux.net/blog/archives/2010/07 / 01 / отчетно-все-Execs /

Question 29

Хавьер уже ответил на этот вопрос: /var/log/auth.log. Я нашел замечательную статью об этом здесь. Если ваши пользователи не имеют доступа к корню, ваши файлы журналов должны быть безопасными. Вы можете попытаться создать некоторые пользовательские правила в файле sudoers, чтобы ограничить доступ к вашим пользователям и каким образом. Также вы можете увеличить уровень журнала для демона sshd.

Question 30

[ОТКАЗ ОТ ОТВЕТСТВЕННОСТИ] Я понимаю, что опаздываю на вечеринку, но я хотел бы вставить ответ, который я дал другому вопросу, потому что я чувствую, что он может предложить хорошее понимание читателям, и этот вопрос кажется

Была аналогичная проблема, которая поразила меня после чтения другим вопросом здесь, на AskUbuntu и проверке моего VPS, только чтобы увидеть bazillion попыток грубой силы. Именно тогда я решил принять меры.

Теперь в соответствии с вопросом, с которым я связан, если вы хотите увидеть неудачные попытки входа в систему на вашем компьютере по сравнению с ssh (могут быть попытки грубой силы или что-то еще), попробуйте ввести следующее:

grep sshd.\*Failed /var/log/auth.log | less

Если вывод состоит из нескольких строк, это много попыток грубой силы, особенно если они произошли между короткими интервалами, вы можете сделать следующие действия:

Измените конфигурацию ssh file

Для этого откройте файл, расположенный в [DISCLAIMER] , с вашим любимым редактором, например vim /etc/ssh/sshd_config.

1. Попробуйте переместить ssh из порта 22: Теперь найдите строку, которая читает:

# What ports, IPs and protocols we listen for
Port 22

и закомментирует порт 22, и используйте любого, кого вы можете. Пример:

# What ports, IPs and protocols we listen for
# Port 22
Port 28934

1. Попробуйте переместить ssh из порта 22 Я не знаю, как это может помешать ему, но я просто говорю.

2. Отключить корневые логины через ssh: поскольку имя пользователя root является предсказуемым и обеспечивает полный доступ к вашей системе, предоставление неограниченного доступа к этой учетной записи через SSH неразумно. Найдите строку чтения PermitRootLogin и установите ее на нет.

PermitRootLogin no

2. Отключите корневые логины через ssh : создайте и используйте SSH-ключи для входа в систему. Без использования паролей злоумышленники должны угадать (или украсть) ваш закрытый ключ SSH, чтобы получить доступ к вашему серверу. Что-то очень сложное. Продолжайте искать строку, которая читает PermitRootLogin и не задает ее

PasswordAuthentication no

Сгенерировать и использовать SSH-ключи Прежде чем это сделать, обратитесь к этому руководству здесь, как настроить аутентификацию сертификата.

ПРИМЕЧАНИЕ. После внесения изменений используйте sudo /etc/init.d/ssh restart. Чтобы подключиться к другому порту с помощью ssh, используйте: ssh username@hostname.com -p <port_number>.

Установите брандмауэр

Пожалуйста, посмотрите здесь о том, как настроить чрезвычайно мощный и эффективный брандмауэр, интегрированный в Linux, ПРИМЕЧАНИЕ: .

Сценарии установки, которые помогут вам с безопасностью

. Я использую лично и быстро ум - Fail2Ban. Fail2ban будет отслеживать ваши файлы журналов для неудачных попыток входа в систему. После того, как IP-адрес превысил максимальное количество попыток аутентификации, он будет заблокирован на сетевом уровне, и событие будет зарегистрировано в /var/log/fail2ban.log. Чтобы установить его: sudo apt-get install fail2ban

Проверить историю команд с помощью ssh

Существует команда linux с именем history, которая позволяет вам видеть, какие команды были введены до этого точка. Попробуйте ввести history в терминал, чтобы просмотреть все команды до этой точки.

root try: history | grep command-name

Чтобы просмотреть все команды после ssh: fc -l ssh

Вы также можете перечислить все команды после ssh (не пробовал это vim, хотя я предполагаю, что он работает также): fc -e vi

Вы также можете удалить history: history -c

удалить историю Если вы не являетесь поклонником команды history, в вашем домашнем каталоге также есть файл (cd ~), который называется no (если вы используете bash), чтобы вы могли cat видеть все, что было введено в оболочке bash.

Question 31

Question 32

Помимо входа в систему, нет надежного способа отслеживать / регистрировать действия пользователей после входа в систему, предполагая, что у них есть базовые знания Linux, они смогут отключить ведение журнала оболочки или просто запустить команды из других оболочек (например, python).

Вместо этого вы должны быть консервативны относительно предоставления доступа ssh, действительно ли они действительно нужны? Не очень часто предоставляется доступ к SSH, если вы не находитесь в оболочке, предоставляющей бизнес.

Question 33

Немного перебор, но вы можете увидеть все, что запускается в вашей системе, используя «соединитель событий процесса»:

http://www.outflux.net/blog/archives/2010/07 / 01 / отчетно-все-Execs /

Question 34

Хавьер уже ответил на этот вопрос: /var/log/auth.log. Я нашел замечательную статью об этом здесь. Если ваши пользователи не имеют доступа к корню, ваши файлы журналов должны быть безопасными. Вы можете попытаться создать некоторые пользовательские правила в файле sudoers, чтобы ограничить доступ к вашим пользователям и каким образом. Также вы можете увеличить уровень журнала для демона sshd.

Question 35

[ОТКАЗ ОТ ОТВЕТСТВЕННОСТИ] Я понимаю, что опаздываю на вечеринку, но я хотел бы вставить ответ, который я дал другому вопросу, потому что я чувствую, что он может предложить хорошее понимание читателям, и этот вопрос кажется

Была аналогичная проблема, которая поразила меня после чтения другим вопросом здесь, на AskUbuntu и проверке моего VPS, только чтобы увидеть bazillion попыток грубой силы. Именно тогда я решил принять меры.

Теперь в соответствии с вопросом, с которым я связан, если вы хотите увидеть неудачные попытки входа в систему на вашем компьютере по сравнению с ssh (могут быть попытки грубой силы или что-то еще), попробуйте ввести следующее:

grep sshd.\*Failed /var/log/auth.log | less

Если вывод состоит из нескольких строк, это много попыток грубой силы, особенно если они произошли между короткими интервалами, вы можете сделать следующие действия:

Измените конфигурацию ssh file

Для этого откройте файл, расположенный в [DISCLAIMER] , с вашим любимым редактором, например vim /etc/ssh/sshd_config.

1. Попробуйте переместить ssh из порта 22: Теперь найдите строку, которая читает:

# What ports, IPs and protocols we listen for
Port 22

и закомментирует порт 22, и используйте любого, кого вы можете. Пример:

# What ports, IPs and protocols we listen for
# Port 22
Port 28934

1. Попробуйте переместить ssh из порта 22 Я не знаю, как это может помешать ему, но я просто говорю.

2. Отключить корневые логины через ssh: поскольку имя пользователя root является предсказуемым и обеспечивает полный доступ к вашей системе, предоставление неограниченного доступа к этой учетной записи через SSH неразумно. Найдите строку чтения PermitRootLogin и установите ее на нет.

PermitRootLogin no

2. Отключите корневые логины через ssh : создайте и используйте SSH-ключи для входа в систему. Без использования паролей злоумышленники должны угадать (или украсть) ваш закрытый ключ SSH, чтобы получить доступ к вашему серверу. Что-то очень сложное. Продолжайте искать строку, которая читает PermitRootLogin и не задает ее

PasswordAuthentication no

Сгенерировать и использовать SSH-ключи Прежде чем это сделать, обратитесь к этому руководству здесь, как настроить аутентификацию сертификата.

ПРИМЕЧАНИЕ. После внесения изменений используйте sudo /etc/init.d/ssh restart. Чтобы подключиться к другому порту с помощью ssh, используйте: ssh username@hostname.com -p <port_number>.

Установите брандмауэр

Пожалуйста, посмотрите здесь о том, как настроить чрезвычайно мощный и эффективный брандмауэр, интегрированный в Linux, ПРИМЕЧАНИЕ: .

Сценарии установки, которые помогут вам с безопасностью

. Я использую лично и быстро ум - Fail2Ban. Fail2ban будет отслеживать ваши файлы журналов для неудачных попыток входа в систему. После того, как IP-адрес превысил максимальное количество попыток аутентификации, он будет заблокирован на сетевом уровне, и событие будет зарегистрировано в /var/log/fail2ban.log. Чтобы установить его: sudo apt-get install fail2ban

Проверить историю команд с помощью ssh

Существует команда linux с именем history, которая позволяет вам видеть, какие команды были введены до этого точка. Попробуйте ввести history в терминал, чтобы просмотреть все команды до этой точки.

root try: history | grep command-name

Чтобы просмотреть все команды после ssh: fc -l ssh

Вы также можете перечислить все команды после ssh (не пробовал это vim, хотя я предполагаю, что он работает также): fc -e vi

Вы также можете удалить history: history -c

удалить историю Если вы не являетесь поклонником команды history, в вашем домашнем каталоге также есть файл (cd ~), который называется no (если вы используете bash), чтобы вы могли cat видеть все, что было введено в оболочке bash.

Question 36

Помимо входа в систему, нет надежного способа отслеживать / регистрировать действия пользователей после входа в систему, предполагая, что у них есть базовые знания Linux, они смогут отключить ведение журнала оболочки или просто запустить команды из других оболочек (например, python).

Вместо этого вы должны быть консервативны относительно предоставления доступа ssh, действительно ли они действительно нужны? Не очень часто предоставляется доступ к SSH, если вы не находитесь в оболочке, предоставляющей бизнес.

Question 37

Question 38

Немного перебор, но вы можете увидеть все, что запускается в вашей системе, используя «соединитель событий процесса»:

http://www.outflux.net/blog/archives/2010/07 / 01 / отчетно-все-Execs /

Javier Rivera · Accepted Answer · 26 May 2018 в 01:22

Говоря о SSH-серверах, я дам вам решения для командной строки.

Отслеживать логины и выход из системы. Это легко, файл /var/log/auth.log должен иметь эту информацию. Отслеживайте активность этих пользователей: если они несколько не присутствуют, вы можете проверить файл .bash_history в своем домашнем каталоге. Вы увидите список команд, которые они выполнили. Проблема, конечно, в том, что они могут удалить или отредактировать этот файл. Запретить пользователям удалять журналы: пользователям не удастся коснуться auth.log. Чтобы они не играли с bas_history, вам нужно сделать несколько трюков. Что делать, если пользователю удастся получить root-доступ? : Ты пьян. Если он не допустит ошибку, он сможет скрыть все его шаги.

23

ответ дан Javier Rivera 26 May 2018 в 01:22

1

Обратите внимание, что нет способа запретить пользователям вводить unset HISTFILE внутри bash, а затем их история bash не будет записана. – Gilles 10 September 2010 в 02:21
2

@Gilles, пожалуйста, прочитайте ссылку на трюки. Они устанавливают HITSFILE как переменную readonly в .profile. – Javier Rivera 10 September 2010 в 12:15
3

Я думал, что вы можете отключить переменную readonly в неограниченном bash, но, по-видимому, нет. Это немного улучшит отслеживаемость с момента запуска другой оболочки (которая не будет читать ~/.bash_history или ~/.bashrc) появится в $HISTFILE. Но это само по себе может быть совершенно законным (например, пользователь просто хочет запустить zsh или хочет установить свой собственный вариант в альтернативном bashrc). – Gilles 10 September 2010 в 12:31
4

Да. Вы можете ограничить его ударом или другой оболочкой. Ведь безопасность - это просто гонка. – Javier Rivera 10 September 2010 в 14:19
5

Неверно, что «если пользователю удастся получить корневой доступ», они смогут скрыть все шаги. Вы всегда можете использовать внешний сервер для аудита, где будут записываться все этапы, в том числе их использование в корне. – Petr 16 June 2016 в 13:37

Zanna · Accepted Answer · 25 July 2018 в 23:13

Поскольку мы говорим о SSH-серверах, я дам вам решения командной строки.

Отслеживать логины и выход из системы. Это легко, файл /var/log/auth.log должен иметь эту информацию. Отслеживайте активность этих пользователей: если они довольно невинны, вы можете проверить файл .bash_history в своем домашнем каталоге. Вы увидите список команд, которые они выполнили. Проблема, конечно, в том, что они могут удалить или отредактировать этот файл. Запретить пользователям удалять журналы: пользователям не удастся коснуться auth.log. Чтобы остановить игру от .bash_history, вам нужно сделать несколько трюков. Что делать, если пользователю удастся получить root-доступ? : Ты пьян. Если они не ошибутся, они смогут скрыть все их шаги.

Zanna · Accepted Answer · 27 July 2018 в 03:23

Поскольку мы говорим о SSH-серверах, я дам вам решения командной строки.

Отслеживать логины и выход из системы. Это легко, файл /var/log/auth.log должен иметь эту информацию. Отслеживайте активность этих пользователей: если они довольно невинны, вы можете проверить файл .bash_history в своем домашнем каталоге. Вы увидите список команд, которые они выполнили. Проблема, конечно, в том, что они могут удалить или отредактировать этот файл. Запретить пользователям удалять журналы: пользователям не удастся коснуться auth.log. Чтобы остановить игру от .bash_history, вам нужно сделать несколько трюков. Что делать, если пользователю удастся получить root-доступ? : Ты пьян. Если они не ошибутся, они смогут скрыть все их шаги.

Zanna · Accepted Answer · 31 July 2018 в 10:33

Поскольку мы говорим о SSH-серверах, я дам вам решения командной строки.

Отслеживать логины и выход из системы. Это легко, файл /var/log/auth.log должен иметь эту информацию. Отслеживайте активность этих пользователей: если они довольно невинны, вы можете проверить файл .bash_history в своем домашнем каталоге. Вы увидите список команд, которые они выполнили. Проблема, конечно, в том, что они могут удалить или отредактировать этот файл. Запретить пользователям удалять журналы: пользователям не удастся коснуться auth.log. Чтобы остановить игру от .bash_history, вам нужно сделать несколько трюков. Что делать, если пользователю удастся получить root-доступ? : Ты пьян. Если они не ошибутся, они смогут скрыть все их шаги.

Zanna · Accepted Answer · 31 July 2018 в 11:35

Поскольку мы говорим о SSH-серверах, я дам вам решения командной строки.

Отслеживать логины и выход из системы. Это легко, файл /var/log/auth.log должен иметь эту информацию. Отслеживайте активность этих пользователей: если они довольно невинны, вы можете проверить файл .bash_history в своем домашнем каталоге. Вы увидите список команд, которые они выполнили. Проблема, конечно, в том, что они могут удалить или отредактировать этот файл. Запретить пользователям удалять журналы: пользователям не удастся коснуться auth.log. Чтобы остановить игру от .bash_history, вам нужно сделать несколько трюков. Что делать, если пользователю удастся получить root-доступ? : Ты пьян. Если они не ошибутся, они смогут скрыть все их шаги.

Zanna · Accepted Answer · 2 August 2018 в 04:31

Поскольку мы говорим о SSH-серверах, я дам вам решения для командной строки.

Отслеживать логин и выход из системы. Это легко, файл /var/log/auth.log должен иметь эту информацию.
Отслеживать активность этих пользователей: если они довольно невинны, вы можете проверить файл .bash_history в их домашнем каталоге. Вы увидите список команд, которые они выполнили. Проблема состоит в том, что они могут удалить или отредактировать этот файл.
Запретить пользователям удалять журналы: пользователям не удастся коснуться auth.log . Чтобы остановить игру от .bash_history , вам нужно сделать пару трюков .
Что делать, если пользователю удастся получить доступ root? : Ты пьян. Если они ошибаются, они смогут скрыть все их шаги.

Zanna · Accepted Answer · 4 August 2018 в 21:05

Поскольку мы говорим о SSH-серверах, я дам вам решения для командной строки.

Отслеживать логин и выход из системы. Это легко, файл /var/log/auth.log должен иметь эту информацию.
Отслеживать активность этих пользователей: если они довольно невинны, вы можете проверить файл .bash_history в их домашнем каталоге. Вы увидите список команд, которые они выполнили. Проблема состоит в том, что они могут удалить или отредактировать этот файл.
Запретить пользователям удалять журналы: пользователям не удастся коснуться auth.log . Чтобы остановить игру от .bash_history , вам нужно сделать пару трюков .
Что делать, если пользователю удастся получить доступ root? : Ты пьян. Если они ошибаются, они смогут скрыть все их шаги.

Zanna · Accepted Answer · 6 August 2018 в 04:35

Поскольку мы говорим о SSH-серверах, я дам вам решения для командной строки.

Отслеживать логин и выход из системы. Это легко, файл /var/log/auth.log должен иметь эту информацию.
Отслеживать активность этих пользователей: если они довольно невинны, вы можете проверить файл .bash_history в их домашнем каталоге. Вы увидите список команд, которые они выполнили. Проблема состоит в том, что они могут удалить или отредактировать этот файл.
Запретить пользователям удалять журналы: пользователям не удастся коснуться auth.log . Чтобы остановить игру от .bash_history , вам нужно сделать пару трюков .
Что делать, если пользователю удастся получить доступ root? : Ты пьян. Если они ошибаются, они смогут скрыть все их шаги.

Zanna · Accepted Answer · 7 August 2018 в 22:45

Поскольку мы говорим о SSH-серверах, я дам вам решения для командной строки.

Отслеживать логин и выход из системы. Это легко, файл /var/log/auth.log должен иметь эту информацию.
Отслеживать активность этих пользователей: если они довольно невинны, вы можете проверить файл .bash_history в их домашнем каталоге. Вы увидите список команд, которые они выполнили. Проблема состоит в том, что они могут удалить или отредактировать этот файл.
Запретить пользователям удалять журналы: пользователям не удастся коснуться auth.log . Чтобы остановить игру от .bash_history , вам нужно сделать пару трюков .
Что делать, если пользователю удастся получить доступ root? : Ты пьян. Если они ошибаются, они смогут скрыть все их шаги.

Zanna · Accepted Answer · 10 August 2018 в 10:51

Поскольку мы говорим о SSH-серверах, я дам вам решения для командной строки.

Отслеживать логин и выход из системы. Это легко, файл /var/log/auth.log должен иметь эту информацию.
Отслеживать активность этих пользователей: если они довольно невинны, вы можете проверить файл .bash_history в их домашнем каталоге. Вы увидите список команд, которые они выполнили. Проблема состоит в том, что они могут удалить или отредактировать этот файл.
Запретить пользователям удалять журналы: пользователям не удастся коснуться auth.log . Чтобы остановить игру от .bash_history , вам нужно сделать пару трюков .
Что делать, если пользователю удастся получить доступ root? : Ты пьян. Если они ошибаются, они смогут скрыть все их шаги.

Zanna · Accepted Answer · 13 August 2018 в 17:25

Поскольку мы говорим о SSH-серверах, я дам вам решения для командной строки.

Отслеживать логин и выход из системы. Это легко, файл /var/log/auth.log должен иметь эту информацию.
Отслеживать активность этих пользователей: если они довольно невинны, вы можете проверить файл .bash_history в их домашнем каталоге. Вы увидите список команд, которые они выполнили. Проблема состоит в том, что они могут удалить или отредактировать этот файл.
Запретить пользователям удалять журналы: пользователям не удастся коснуться auth.log . Чтобы остановить игру от .bash_history , вам нужно сделать пару трюков .
Что делать, если пользователю удастся получить доступ root? : Ты пьян. Если они ошибаются, они смогут скрыть все их шаги.

23

ответ дан Zanna 13 August 2018 в 17:25

1

Обратите внимание, что нет способа запретить пользователям вводить unset HISTFILE внутри bash, а затем их история bash не будет записана. – Gilles 10 September 2010 в 02:21
2

@Gilles, пожалуйста, прочитайте ссылку на трюки. Они устанавливают HITSFILE как переменную readonly в .profile. – Javier Rivera 10 September 2010 в 12:15
3

Я думал, что вы можете отключить переменную readonly в неограниченном bash, но, по-видимому, нет. Это немного улучшает отслеживаемость с момента запуска другой оболочки (которая не будет читать ~ / .bash_history или ~ / .bashrc ) появится в $ HISTFILE . Но это само по себе может быть совершенно законным (например, пользователь просто хочет запустить zsh или хочет установить свой собственный вариант в альтернативном bashrc ). – Gilles 10 September 2010 в 12:31
4

Да. Вы можете ограничить его ударом или другой оболочкой. Ведь безопасность - это просто гонка. – Javier Rivera 10 September 2010 в 14:19
5

Неверно, что «если пользователю удастся получить корневой доступ», они смогут скрыть все шаги. Вы всегда можете использовать внешний сервер для аудита, где будут записываться все этапы, в том числе их использование в корне. – Petr 16 June 2016 в 13:37

Community · Answer 12 · 26 May 2018 в 01:22

[ОТКАЗ ОТ ОТВЕТСТВЕННОСТИ] Я понимаю, что опаздываю на вечеринку, но я хотел бы вставить ответ, который я дал другому вопросу, потому что я чувствую, что он может предложить хорошее понимание читателям, и этот вопрос кажется

Была аналогичная проблема, которая поразила меня после чтения другим вопросом здесь, на AskUbuntu и проверке моего VPS, только чтобы увидеть bazillion попыток грубой силы. Именно тогда я решил принять меры.

Теперь в соответствии с вопросом, с которым я связан, если вы хотите увидеть неудачные попытки входа в систему на вашем компьютере по сравнению с ssh (могут быть попытки грубой силы или что-то еще), попробуйте ввести следующее:

grep sshd.\*Failed /var/log/auth.log | less

Если вывод состоит из нескольких строк, это много попыток грубой силы, особенно если они произошли между короткими интервалами, вы можете сделать следующие действия:

Измените конфигурацию ssh file

Для этого откройте файл, расположенный в [DISCLAIMER] , с вашим любимым редактором, например vim /etc/ssh/sshd_config.

1. Попробуйте переместить ssh из порта 22: Теперь найдите строку, которая читает:

# What ports, IPs and protocols we listen for
Port 22

и закомментирует порт 22, и используйте любого, кого вы можете. Пример:

# What ports, IPs and protocols we listen for
# Port 22
Port 28934

1. Попробуйте переместить ssh из порта 22 Я не знаю, как это может помешать ему, но я просто говорю.

2. Отключить корневые логины через ssh: поскольку имя пользователя root является предсказуемым и обеспечивает полный доступ к вашей системе, предоставление неограниченного доступа к этой учетной записи через SSH неразумно. Найдите строку чтения PermitRootLogin и установите ее на нет.

PermitRootLogin no

2. Отключите корневые логины через ssh : создайте и используйте SSH-ключи для входа в систему. Без использования паролей злоумышленники должны угадать (или украсть) ваш закрытый ключ SSH, чтобы получить доступ к вашему серверу. Что-то очень сложное. Продолжайте искать строку, которая читает PermitRootLogin и не задает ее

PasswordAuthentication no

Сгенерировать и использовать SSH-ключи Прежде чем это сделать, обратитесь к этому руководству здесь, как настроить аутентификацию сертификата.

ПРИМЕЧАНИЕ. После внесения изменений используйте sudo /etc/init.d/ssh restart. Чтобы подключиться к другому порту с помощью ssh, используйте: ssh username@hostname.com -p <port_number>.

Установите брандмауэр

Пожалуйста, посмотрите здесь о том, как настроить чрезвычайно мощный и эффективный брандмауэр, интегрированный в Linux, ПРИМЕЧАНИЕ: .

Сценарии установки, которые помогут вам с безопасностью

. Я использую лично и быстро ум - Fail2Ban. Fail2ban будет отслеживать ваши файлы журналов для неудачных попыток входа в систему. После того, как IP-адрес превысил максимальное количество попыток аутентификации, он будет заблокирован на сетевом уровне, и событие будет зарегистрировано в /var/log/fail2ban.log. Чтобы установить его: sudo apt-get install fail2ban

Проверить историю команд с помощью ssh

Существует команда linux с именем history, которая позволяет вам видеть, какие команды были введены до этого точка. Попробуйте ввести history в терминал, чтобы просмотреть все команды до этой точки.

root try: history | grep command-name

Чтобы просмотреть все команды после ssh: fc -l ssh

Вы также можете перечислить все команды после ssh (не пробовал это vim, хотя я предполагаю, что он работает также): fc -e vi

Вы также можете удалить history: history -c

удалить историю Если вы не являетесь поклонником команды history, в вашем домашнем каталоге также есть файл (cd ~), который называется no (если вы используете bash), чтобы вы могли cat видеть все, что было введено в оболочке bash.

очень хороший ответ. Вы также должны посмотреть на руководство, указанное @radu в askubuntu.com/a/3906/59250 — Cerber, 2 May 2013 в 00:07

Kees Cook · Answer 13 · 26 May 2018 в 01:22

Немного перебор, но вы можете увидеть все, что запускается в вашей системе, используя «соединитель событий процесса»:

http://www.outflux.net/blog/archives/2010/07 / 01 / отчетно-все-Execs /

Radu Cotescu · Answer 14 · 26 May 2018 в 01:22

Хавьер уже ответил на этот вопрос: /var/log/auth.log. Я нашел замечательную статью об этом здесь. Если ваши пользователи не имеют доступа к корню, ваши файлы журналов должны быть безопасными. Вы можете попытаться создать некоторые пользовательские правила в файле sudoers, чтобы ограничить доступ к вашим пользователям и каким образом. Также вы можете увеличить уровень журнала для демона sshd.

João Pinto · Answer 15 · 26 May 2018 в 01:22

Помимо входа в систему, нет надежного способа отслеживать / регистрировать действия пользователей после входа в систему, предполагая, что у них есть базовые знания Linux, они смогут отключить ведение журнала оболочки или просто запустить команды из других оболочек (например, python).

Вместо этого вы должны быть консервативны относительно предоставления доступа ssh, действительно ли они действительно нужны? Не очень часто предоставляется доступ к SSH, если вы не находитесь в оболочке, предоставляющей бизнес.

Community · Answer 16 · 25 July 2018 в 23:13

[ОТКАЗ ОТ ОТВЕТСТВЕННОСТИ] Я понимаю, что опаздываю на вечеринку, но я хотел бы вставить ответ, который я дал другому вопросу, потому что я чувствую, что он может предложить хорошее понимание читателям, и этот вопрос кажется

Была аналогичная проблема, которая поразила меня после чтения другим вопросом здесь, на AskUbuntu и проверке моего VPS, только чтобы увидеть bazillion попыток грубой силы. Именно тогда я решил принять меры.

Теперь в соответствии с вопросом, с которым я связан, если вы хотите увидеть неудачные попытки входа в систему на вашем компьютере по сравнению с ssh (могут быть попытки грубой силы или что-то еще), попробуйте ввести следующее:

grep sshd.\*Failed /var/log/auth.log | less

Если вывод состоит из нескольких строк, это много попыток грубой силы, особенно если они произошли между короткими интервалами, вы можете сделать следующие действия:

Измените конфигурацию ssh file

Для этого откройте файл, расположенный в [DISCLAIMER] , с вашим любимым редактором, например vim /etc/ssh/sshd_config.

1. Попробуйте переместить ssh из порта 22: Теперь найдите строку, которая читает:

# What ports, IPs and protocols we listen for
Port 22

и закомментирует порт 22, и используйте любого, кого вы можете. Пример:

# What ports, IPs and protocols we listen for
# Port 22
Port 28934

1. Попробуйте переместить ssh из порта 22 Я не знаю, как это может помешать ему, но я просто говорю.

2. Отключить корневые логины через ssh: поскольку имя пользователя root является предсказуемым и обеспечивает полный доступ к вашей системе, предоставление неограниченного доступа к этой учетной записи через SSH неразумно. Найдите строку чтения PermitRootLogin и установите ее на нет.

PermitRootLogin no

2. Отключите корневые логины через ssh : создайте и используйте SSH-ключи для входа в систему. Без использования паролей злоумышленники должны угадать (или украсть) ваш закрытый ключ SSH, чтобы получить доступ к вашему серверу. Что-то очень сложное. Продолжайте искать строку, которая читает PermitRootLogin и не задает ее

PasswordAuthentication no

Сгенерировать и использовать SSH-ключи Прежде чем это сделать, обратитесь к этому руководству здесь, как настроить аутентификацию сертификата.

ПРИМЕЧАНИЕ. После внесения изменений используйте sudo /etc/init.d/ssh restart. Чтобы подключиться к другому порту с помощью ssh, используйте: ssh username@hostname.com -p <port_number>.

Установите брандмауэр

Пожалуйста, посмотрите здесь о том, как настроить чрезвычайно мощный и эффективный брандмауэр, интегрированный в Linux, ПРИМЕЧАНИЕ: .

Сценарии установки, которые помогут вам с безопасностью

. Я использую лично и быстро ум - Fail2Ban. Fail2ban будет отслеживать ваши файлы журналов для неудачных попыток входа в систему. После того, как IP-адрес превысил максимальное количество попыток аутентификации, он будет заблокирован на сетевом уровне, и событие будет зарегистрировано в /var/log/fail2ban.log. Чтобы установить его: sudo apt-get install fail2ban

Проверить историю команд с помощью ssh

Существует команда linux с именем history, которая позволяет вам видеть, какие команды были введены до этого точка. Попробуйте ввести history в терминал, чтобы просмотреть все команды до этой точки.

root try: history | grep command-name

Чтобы просмотреть все команды после ssh: fc -l ssh

Вы также можете перечислить все команды после ssh (не пробовал это vim, хотя я предполагаю, что он работает также): fc -e vi

Вы также можете удалить history: history -c

удалить историю Если вы не являетесь поклонником команды history, в вашем домашнем каталоге также есть файл (cd ~), который называется no (если вы используете bash), чтобы вы могли cat видеть все, что было введено в оболочке bash.

очень хороший ответ. Вы также должны посмотреть на руководство, указанное @radu в askubuntu.com/a/3906/59250 — Cerber, 2 May 2013 в 00:07

João Pinto · Answer 17 · 25 July 2018 в 23:13

Помимо входа в систему, нет надежного способа отслеживать / регистрировать действия пользователей после входа в систему, предполагая, что у них есть базовые знания Linux, они смогут отключить ведение журнала оболочки или просто запустить команды из других оболочек (например, python).

Вместо этого вы должны быть консервативны относительно предоставления доступа ssh, действительно ли они действительно нужны? Не очень часто предоставляется доступ к SSH, если вы не находитесь в оболочке, предоставляющей бизнес.

Kees Cook · Answer 18 · 25 July 2018 в 23:13

Немного перебор, но вы можете увидеть все, что запускается в вашей системе, используя «соединитель событий процесса»:

http://www.outflux.net/blog/archives/2010/07 / 01 / отчетно-все-Execs /

Radu Cotescu · Answer 19 · 25 July 2018 в 23:13

Хавьер уже ответил на этот вопрос: /var/log/auth.log. Я нашел замечательную статью об этом здесь. Если ваши пользователи не имеют доступа к корню, ваши файлы журналов должны быть безопасными. Вы можете попытаться создать некоторые пользовательские правила в файле sudoers, чтобы ограничить доступ к вашим пользователям и каким образом. Также вы можете увеличить уровень журнала для демона sshd.

Community · Answer 20 · 27 July 2018 в 03:23

[ОТКАЗ ОТ ОТВЕТСТВЕННОСТИ] Я понимаю, что опаздываю на вечеринку, но я хотел бы вставить ответ, который я дал другому вопросу, потому что я чувствую, что он может предложить хорошее понимание читателям, и этот вопрос кажется

Была аналогичная проблема, которая поразила меня после чтения другим вопросом здесь, на AskUbuntu и проверке моего VPS, только чтобы увидеть bazillion попыток грубой силы. Именно тогда я решил принять меры.

Теперь в соответствии с вопросом, с которым я связан, если вы хотите увидеть неудачные попытки входа в систему на вашем компьютере по сравнению с ssh (могут быть попытки грубой силы или что-то еще), попробуйте ввести следующее:

grep sshd.\*Failed /var/log/auth.log | less

Если вывод состоит из нескольких строк, это много попыток грубой силы, особенно если они произошли между короткими интервалами, вы можете сделать следующие действия:

Измените конфигурацию ssh file

Для этого откройте файл, расположенный в [DISCLAIMER] , с вашим любимым редактором, например vim /etc/ssh/sshd_config.

1. Попробуйте переместить ssh из порта 22: Теперь найдите строку, которая читает:

# What ports, IPs and protocols we listen for
Port 22

и закомментирует порт 22, и используйте любого, кого вы можете. Пример:

# What ports, IPs and protocols we listen for
# Port 22
Port 28934

1. Попробуйте переместить ssh из порта 22 Я не знаю, как это может помешать ему, но я просто говорю.

2. Отключить корневые логины через ssh: поскольку имя пользователя root является предсказуемым и обеспечивает полный доступ к вашей системе, предоставление неограниченного доступа к этой учетной записи через SSH неразумно. Найдите строку чтения PermitRootLogin и установите ее на нет.

PermitRootLogin no

2. Отключите корневые логины через ssh : создайте и используйте SSH-ключи для входа в систему. Без использования паролей злоумышленники должны угадать (или украсть) ваш закрытый ключ SSH, чтобы получить доступ к вашему серверу. Что-то очень сложное. Продолжайте искать строку, которая читает PermitRootLogin и не задает ее

PasswordAuthentication no

Сгенерировать и использовать SSH-ключи Прежде чем это сделать, обратитесь к этому руководству здесь, как настроить аутентификацию сертификата.

ПРИМЕЧАНИЕ. После внесения изменений используйте sudo /etc/init.d/ssh restart. Чтобы подключиться к другому порту с помощью ssh, используйте: ssh username@hostname.com -p <port_number>.

Установите брандмауэр

Пожалуйста, посмотрите здесь о том, как настроить чрезвычайно мощный и эффективный брандмауэр, интегрированный в Linux, ПРИМЕЧАНИЕ: .

Сценарии установки, которые помогут вам с безопасностью

. Я использую лично и быстро ум - Fail2Ban. Fail2ban будет отслеживать ваши файлы журналов для неудачных попыток входа в систему. После того, как IP-адрес превысил максимальное количество попыток аутентификации, он будет заблокирован на сетевом уровне, и событие будет зарегистрировано в /var/log/fail2ban.log. Чтобы установить его: sudo apt-get install fail2ban

Проверить историю команд с помощью ssh

Существует команда linux с именем history, которая позволяет вам видеть, какие команды были введены до этого точка. Попробуйте ввести history в терминал, чтобы просмотреть все команды до этой точки.

root try: history | grep command-name

Чтобы просмотреть все команды после ssh: fc -l ssh

Вы также можете перечислить все команды после ssh (не пробовал это vim, хотя я предполагаю, что он работает также): fc -e vi

Вы также можете удалить history: history -c

удалить историю Если вы не являетесь поклонником команды history, в вашем домашнем каталоге также есть файл (cd ~), который называется no (если вы используете bash), чтобы вы могли cat видеть все, что было введено в оболочке bash.

очень хороший ответ. Вы также должны посмотреть на руководство, указанное @radu в askubuntu.com/a/3906/59250 — Cerber, 2 May 2013 в 00:07

João Pinto · Answer 21 · 27 July 2018 в 03:23

Помимо входа в систему, нет надежного способа отслеживать / регистрировать действия пользователей после входа в систему, предполагая, что у них есть базовые знания Linux, они смогут отключить ведение журнала оболочки или просто запустить команды из других оболочек (например, python).

Вместо этого вы должны быть консервативны относительно предоставления доступа ssh, действительно ли они действительно нужны? Не очень часто предоставляется доступ к SSH, если вы не находитесь в оболочке, предоставляющей бизнес.

Kees Cook · Answer 22 · 27 July 2018 в 03:23

Немного перебор, но вы можете увидеть все, что запускается в вашей системе, используя «соединитель событий процесса»:

http://www.outflux.net/blog/archives/2010/07 / 01 / отчетно-все-Execs /

Radu Cotescu · Answer 23 · 27 July 2018 в 03:23

Хавьер уже ответил на этот вопрос: /var/log/auth.log. Я нашел замечательную статью об этом здесь. Если ваши пользователи не имеют доступа к корню, ваши файлы журналов должны быть безопасными. Вы можете попытаться создать некоторые пользовательские правила в файле sudoers, чтобы ограничить доступ к вашим пользователям и каким образом. Также вы можете увеличить уровень журнала для демона sshd.

Community · Answer 24 · 31 July 2018 в 10:33

[ОТКАЗ ОТ ОТВЕТСТВЕННОСТИ] Я понимаю, что опаздываю на вечеринку, но я хотел бы вставить ответ, который я дал другому вопросу, потому что я чувствую, что он может предложить хорошее понимание читателям, и этот вопрос кажется

Была аналогичная проблема, которая поразила меня после чтения другим вопросом здесь, на AskUbuntu и проверке моего VPS, только чтобы увидеть bazillion попыток грубой силы. Именно тогда я решил принять меры.

Теперь в соответствии с вопросом, с которым я связан, если вы хотите увидеть неудачные попытки входа в систему на вашем компьютере по сравнению с ssh (могут быть попытки грубой силы или что-то еще), попробуйте ввести следующее:

grep sshd.\*Failed /var/log/auth.log | less

Если вывод состоит из нескольких строк, это много попыток грубой силы, особенно если они произошли между короткими интервалами, вы можете сделать следующие действия:

Измените конфигурацию ssh file

Для этого откройте файл, расположенный в [DISCLAIMER] , с вашим любимым редактором, например vim /etc/ssh/sshd_config.

1. Попробуйте переместить ssh из порта 22: Теперь найдите строку, которая читает:

# What ports, IPs and protocols we listen for
Port 22

и закомментирует порт 22, и используйте любого, кого вы можете. Пример:

# What ports, IPs and protocols we listen for
# Port 22
Port 28934

1. Попробуйте переместить ssh из порта 22 Я не знаю, как это может помешать ему, но я просто говорю.

2. Отключить корневые логины через ssh: поскольку имя пользователя root является предсказуемым и обеспечивает полный доступ к вашей системе, предоставление неограниченного доступа к этой учетной записи через SSH неразумно. Найдите строку чтения PermitRootLogin и установите ее на нет.

PermitRootLogin no

2. Отключите корневые логины через ssh : создайте и используйте SSH-ключи для входа в систему. Без использования паролей злоумышленники должны угадать (или украсть) ваш закрытый ключ SSH, чтобы получить доступ к вашему серверу. Что-то очень сложное. Продолжайте искать строку, которая читает PermitRootLogin и не задает ее

PasswordAuthentication no

Сгенерировать и использовать SSH-ключи Прежде чем это сделать, обратитесь к этому руководству здесь, как настроить аутентификацию сертификата.

ПРИМЕЧАНИЕ. После внесения изменений используйте sudo /etc/init.d/ssh restart. Чтобы подключиться к другому порту с помощью ssh, используйте: ssh username@hostname.com -p <port_number>.

Установите брандмауэр

Пожалуйста, посмотрите здесь о том, как настроить чрезвычайно мощный и эффективный брандмауэр, интегрированный в Linux, ПРИМЕЧАНИЕ: .

Сценарии установки, которые помогут вам с безопасностью

. Я использую лично и быстро ум - Fail2Ban. Fail2ban будет отслеживать ваши файлы журналов для неудачных попыток входа в систему. После того, как IP-адрес превысил максимальное количество попыток аутентификации, он будет заблокирован на сетевом уровне, и событие будет зарегистрировано в /var/log/fail2ban.log. Чтобы установить его: sudo apt-get install fail2ban

Проверить историю команд с помощью ssh

Существует команда linux с именем history, которая позволяет вам видеть, какие команды были введены до этого точка. Попробуйте ввести history в терминал, чтобы просмотреть все команды до этой точки.

root try: history | grep command-name

Чтобы просмотреть все команды после ssh: fc -l ssh

Вы также можете перечислить все команды после ssh (не пробовал это vim, хотя я предполагаю, что он работает также): fc -e vi

Вы также можете удалить history: history -c

удалить историю Если вы не являетесь поклонником команды history, в вашем домашнем каталоге также есть файл (cd ~), который называется no (если вы используете bash), чтобы вы могли cat видеть все, что было введено в оболочке bash.

очень хороший ответ. Вы также должны посмотреть на руководство, указанное @radu в askubuntu.com/a/3906/59250 — Cerber, 2 May 2013 в 00:07

João Pinto · Answer 25 · 31 July 2018 в 10:33

Помимо входа в систему, нет надежного способа отслеживать / регистрировать действия пользователей после входа в систему, предполагая, что у них есть базовые знания Linux, они смогут отключить ведение журнала оболочки или просто запустить команды из других оболочек (например, python).

Вместо этого вы должны быть консервативны относительно предоставления доступа ssh, действительно ли они действительно нужны? Не очень часто предоставляется доступ к SSH, если вы не находитесь в оболочке, предоставляющей бизнес.

Kees Cook · Answer 26 · 31 July 2018 в 10:33

Немного перебор, но вы можете увидеть все, что запускается в вашей системе, используя «соединитель событий процесса»:

http://www.outflux.net/blog/archives/2010/07 / 01 / отчетно-все-Execs /

Radu Cotescu · Answer 27 · 31 July 2018 в 10:33

Хавьер уже ответил на этот вопрос: /var/log/auth.log. Я нашел замечательную статью об этом здесь. Если ваши пользователи не имеют доступа к корню, ваши файлы журналов должны быть безопасными. Вы можете попытаться создать некоторые пользовательские правила в файле sudoers, чтобы ограничить доступ к вашим пользователям и каким образом. Также вы можете увеличить уровень журнала для демона sshd.

Community · Answer 28 · 31 July 2018 в 11:35

[ОТКАЗ ОТ ОТВЕТСТВЕННОСТИ] Я понимаю, что опаздываю на вечеринку, но я хотел бы вставить ответ, который я дал другому вопросу, потому что я чувствую, что он может предложить хорошее понимание читателям, и этот вопрос кажется

Была аналогичная проблема, которая поразила меня после чтения другим вопросом здесь, на AskUbuntu и проверке моего VPS, только чтобы увидеть bazillion попыток грубой силы. Именно тогда я решил принять меры.

Теперь в соответствии с вопросом, с которым я связан, если вы хотите увидеть неудачные попытки входа в систему на вашем компьютере по сравнению с ssh (могут быть попытки грубой силы или что-то еще), попробуйте ввести следующее:

grep sshd.\*Failed /var/log/auth.log | less

Если вывод состоит из нескольких строк, это много попыток грубой силы, особенно если они произошли между короткими интервалами, вы можете сделать следующие действия:

Измените конфигурацию ssh file

Для этого откройте файл, расположенный в [DISCLAIMER] , с вашим любимым редактором, например vim /etc/ssh/sshd_config.

1. Попробуйте переместить ssh из порта 22: Теперь найдите строку, которая читает:

# What ports, IPs and protocols we listen for
Port 22

и закомментирует порт 22, и используйте любого, кого вы можете. Пример:

# What ports, IPs and protocols we listen for
# Port 22
Port 28934

1. Попробуйте переместить ssh из порта 22 Я не знаю, как это может помешать ему, но я просто говорю.

2. Отключить корневые логины через ssh: поскольку имя пользователя root является предсказуемым и обеспечивает полный доступ к вашей системе, предоставление неограниченного доступа к этой учетной записи через SSH неразумно. Найдите строку чтения PermitRootLogin и установите ее на нет.

PermitRootLogin no

2. Отключите корневые логины через ssh : создайте и используйте SSH-ключи для входа в систему. Без использования паролей злоумышленники должны угадать (или украсть) ваш закрытый ключ SSH, чтобы получить доступ к вашему серверу. Что-то очень сложное. Продолжайте искать строку, которая читает PermitRootLogin и не задает ее

PasswordAuthentication no

Сгенерировать и использовать SSH-ключи Прежде чем это сделать, обратитесь к этому руководству здесь, как настроить аутентификацию сертификата.

ПРИМЕЧАНИЕ. После внесения изменений используйте sudo /etc/init.d/ssh restart. Чтобы подключиться к другому порту с помощью ssh, используйте: ssh username@hostname.com -p <port_number>.

Установите брандмауэр

Пожалуйста, посмотрите здесь о том, как настроить чрезвычайно мощный и эффективный брандмауэр, интегрированный в Linux, ПРИМЕЧАНИЕ: .

Сценарии установки, которые помогут вам с безопасностью

. Я использую лично и быстро ум - Fail2Ban. Fail2ban будет отслеживать ваши файлы журналов для неудачных попыток входа в систему. После того, как IP-адрес превысил максимальное количество попыток аутентификации, он будет заблокирован на сетевом уровне, и событие будет зарегистрировано в /var/log/fail2ban.log. Чтобы установить его: sudo apt-get install fail2ban

Проверить историю команд с помощью ssh

Существует команда linux с именем history, которая позволяет вам видеть, какие команды были введены до этого точка. Попробуйте ввести history в терминал, чтобы просмотреть все команды до этой точки.

root try: history | grep command-name

Чтобы просмотреть все команды после ssh: fc -l ssh

Вы также можете перечислить все команды после ssh (не пробовал это vim, хотя я предполагаю, что он работает также): fc -e vi

Вы также можете удалить history: history -c

удалить историю Если вы не являетесь поклонником команды history, в вашем домашнем каталоге также есть файл (cd ~), который называется no (если вы используете bash), чтобы вы могли cat видеть все, что было введено в оболочке bash.

очень хороший ответ. Вы также должны посмотреть на руководство, указанное @radu в askubuntu.com/a/3906/59250 — Cerber, 2 May 2013 в 00:07

João Pinto · Answer 29 · 31 July 2018 в 11:35

Помимо входа в систему, нет надежного способа отслеживать / регистрировать действия пользователей после входа в систему, предполагая, что у них есть базовые знания Linux, они смогут отключить ведение журнала оболочки или просто запустить команды из других оболочек (например, python).

Вместо этого вы должны быть консервативны относительно предоставления доступа ssh, действительно ли они действительно нужны? Не очень часто предоставляется доступ к SSH, если вы не находитесь в оболочке, предоставляющей бизнес.

Kees Cook · Answer 30 · 31 July 2018 в 11:35

Немного перебор, но вы можете увидеть все, что запускается в вашей системе, используя «соединитель событий процесса»:

http://www.outflux.net/blog/archives/2010/07 / 01 / отчетно-все-Execs /

Как я могу проверять пользователей и попытки доступа к SSH на моем сервере?

55 ответов

Измените конфигурацию ssh file

Установите брандмауэр

Сценарии установки, которые помогут вам с безопасностью

Проверить историю команд с помощью ssh

Измените конфигурацию ssh file

Установите брандмауэр

Сценарии установки, которые помогут вам с безопасностью

Проверить историю команд с помощью ssh

Измените конфигурацию ssh file

Установите брандмауэр

Сценарии установки, которые помогут вам с безопасностью

Проверить историю команд с помощью ssh

Измените конфигурацию ssh file

Установите брандмауэр

Сценарии установки, которые помогут вам с безопасностью

Проверить историю команд с помощью ssh

Измените конфигурацию ssh file

Установите брандмауэр

Сценарии установки, которые помогут вам с безопасностью

Проверить историю команд с помощью ssh

Другие вопросы по тегам:

Похожие вопросы: