У меня была такая же проблема после установки Ubuntu 15.10. Переустановка bash-completion работала для меня:
sudo apt-get install --reinstall bash-completion
Говоря о SSH-серверах, я дам вам решения для командной строки.
Отслеживать логины и выход из системы. Это легко, файл /var/log/auth.log должен иметь эту информацию. Отслеживайте активность этих пользователей: если они несколько не присутствуют, вы можете проверить файл .bash_history в своем домашнем каталоге. Вы увидите список команд, которые они выполнили. Проблема, конечно, в том, что они могут удалить или отредактировать этот файл. Запретить пользователям удалять журналы: пользователям не удастся коснуться auth.log. Чтобы они не играли с bas_history, вам нужно сделать несколько трюков. Что делать, если пользователю удастся получить root-доступ? : Ты пьян. Если он не допустит ошибку, он сможет скрыть все его шаги.Поскольку мы говорим о SSH-серверах, я дам вам решения командной строки.
Отслеживать логины и выход из системы. Это легко, файл /var/log/auth.log должен иметь эту информацию. Отслеживайте активность этих пользователей: если они довольно невинны, вы можете проверить файл .bash_history в своем домашнем каталоге. Вы увидите список команд, которые они выполнили. Проблема, конечно, в том, что они могут удалить или отредактировать этот файл. Запретить пользователям удалять журналы: пользователям не удастся коснуться auth.log. Чтобы остановить игру от .bash_history, вам нужно сделать несколько трюков. Что делать, если пользователю удастся получить root-доступ? : Ты пьян. Если они не ошибутся, они смогут скрыть все их шаги.Поскольку мы говорим о SSH-серверах, я дам вам решения командной строки.
Отслеживать логины и выход из системы. Это легко, файл /var/log/auth.log должен иметь эту информацию. Отслеживайте активность этих пользователей: если они довольно невинны, вы можете проверить файл .bash_history в своем домашнем каталоге. Вы увидите список команд, которые они выполнили. Проблема, конечно, в том, что они могут удалить или отредактировать этот файл. Запретить пользователям удалять журналы: пользователям не удастся коснуться auth.log. Чтобы остановить игру от .bash_history, вам нужно сделать несколько трюков. Что делать, если пользователю удастся получить root-доступ? : Ты пьян. Если они не ошибутся, они смогут скрыть все их шаги.Поскольку мы говорим о SSH-серверах, я дам вам решения командной строки.
Отслеживать логины и выход из системы. Это легко, файл /var/log/auth.log должен иметь эту информацию. Отслеживайте активность этих пользователей: если они довольно невинны, вы можете проверить файл .bash_history в своем домашнем каталоге. Вы увидите список команд, которые они выполнили. Проблема, конечно, в том, что они могут удалить или отредактировать этот файл. Запретить пользователям удалять журналы: пользователям не удастся коснуться auth.log. Чтобы остановить игру от .bash_history, вам нужно сделать несколько трюков. Что делать, если пользователю удастся получить root-доступ? : Ты пьян. Если они не ошибутся, они смогут скрыть все их шаги.Поскольку мы говорим о SSH-серверах, я дам вам решения командной строки.
Отслеживать логины и выход из системы. Это легко, файл /var/log/auth.log должен иметь эту информацию. Отслеживайте активность этих пользователей: если они довольно невинны, вы можете проверить файл .bash_history в своем домашнем каталоге. Вы увидите список команд, которые они выполнили. Проблема, конечно, в том, что они могут удалить или отредактировать этот файл. Запретить пользователям удалять журналы: пользователям не удастся коснуться auth.log. Чтобы остановить игру от .bash_history, вам нужно сделать несколько трюков. Что делать, если пользователю удастся получить root-доступ? : Ты пьян. Если они не ошибутся, они смогут скрыть все их шаги.Поскольку мы говорим о SSH-серверах, я дам вам решения для командной строки.
/var/log/auth.log
должен иметь эту информацию. .bash_history
в их домашнем каталоге. Вы увидите список команд, которые они выполнили. Проблема состоит в том, что они могут удалить или отредактировать этот файл. auth.log
. Чтобы остановить игру от .bash_history
, вам нужно сделать пару трюков . Поскольку мы говорим о SSH-серверах, я дам вам решения для командной строки.
/var/log/auth.log
должен иметь эту информацию. .bash_history
в их домашнем каталоге. Вы увидите список команд, которые они выполнили. Проблема состоит в том, что они могут удалить или отредактировать этот файл. auth.log
. Чтобы остановить игру от .bash_history
, вам нужно сделать пару трюков . Поскольку мы говорим о SSH-серверах, я дам вам решения для командной строки.
/var/log/auth.log
должен иметь эту информацию. .bash_history
в их домашнем каталоге. Вы увидите список команд, которые они выполнили. Проблема состоит в том, что они могут удалить или отредактировать этот файл. auth.log
. Чтобы остановить игру от .bash_history
, вам нужно сделать пару трюков . Поскольку мы говорим о SSH-серверах, я дам вам решения для командной строки.
/var/log/auth.log
должен иметь эту информацию. .bash_history
в их домашнем каталоге. Вы увидите список команд, которые они выполнили. Проблема состоит в том, что они могут удалить или отредактировать этот файл. auth.log
. Чтобы остановить игру от .bash_history
, вам нужно сделать пару трюков . Поскольку мы говорим о SSH-серверах, я дам вам решения для командной строки.
/var/log/auth.log
должен иметь эту информацию. .bash_history
в их домашнем каталоге. Вы увидите список команд, которые они выполнили. Проблема состоит в том, что они могут удалить или отредактировать этот файл. auth.log
. Чтобы остановить игру от .bash_history
, вам нужно сделать пару трюков . Поскольку мы говорим о SSH-серверах, я дам вам решения для командной строки.
/var/log/auth.log
должен иметь эту информацию. .bash_history
в их домашнем каталоге. Вы увидите список команд, которые они выполнили. Проблема состоит в том, что они могут удалить или отредактировать этот файл. auth.log
. Чтобы остановить игру от .bash_history
, вам нужно сделать пару трюков . unset HISTFILE
внутри bash, а затем их история bash не будет записана.
– Gilles
10 September 2010 в 02:21
~ / .bash_history
или ~ / .bashrc
) появится в $ HISTFILE
. Но это само по себе может быть совершенно законным (например, пользователь просто хочет запустить zsh
или хочет установить свой собственный вариант в альтернативном bashrc
).
– Gilles
10 September 2010 в 12:31
[ОТКАЗ ОТ ОТВЕТСТВЕННОСТИ] Я понимаю, что опаздываю на вечеринку, но я хотел бы вставить ответ, который я дал другому вопросу, потому что я чувствую, что он может предложить хорошее понимание читателям, и этот вопрос кажется
Была аналогичная проблема, которая поразила меня после чтения другим вопросом здесь, на AskUbuntu и проверке моего VPS, только чтобы увидеть bazillion попыток грубой силы. Именно тогда я решил принять меры.
Теперь в соответствии с вопросом, с которым я связан, если вы хотите увидеть неудачные попытки входа в систему на вашем компьютере по сравнению с ssh (могут быть попытки грубой силы или что-то еще), попробуйте ввести следующее:
grep sshd.\*Failed /var/log/auth.log | less
Если вывод состоит из нескольких строк, это много попыток грубой силы, особенно если они произошли между короткими интервалами, вы можете сделать следующие действия:
Для этого откройте файл, расположенный в [DISCLAIMER] , с вашим любимым редактором, например vim /etc/ssh/sshd_config.
1. Попробуйте переместить ssh из порта 22: Теперь найдите строку, которая читает:
# What ports, IPs and protocols we listen for
Port 22
и закомментирует порт 22, и используйте любого, кого вы можете. Пример:
# What ports, IPs and protocols we listen for
# Port 22
Port 28934
1. Попробуйте переместить ssh из порта 22 Я не знаю, как это может помешать ему, но я просто говорю.
2. Отключить корневые логины через ssh: поскольку имя пользователя root является предсказуемым и обеспечивает полный доступ к вашей системе, предоставление неограниченного доступа к этой учетной записи через SSH неразумно. Найдите строку чтения PermitRootLogin и установите ее на нет.
PermitRootLogin no
2. Отключите корневые логины через ssh : создайте и используйте SSH-ключи для входа в систему. Без использования паролей злоумышленники должны угадать (или украсть) ваш закрытый ключ SSH, чтобы получить доступ к вашему серверу. Что-то очень сложное. Продолжайте искать строку, которая читает PermitRootLogin и не задает ее
PasswordAuthentication no
Сгенерировать и использовать SSH-ключи Прежде чем это сделать, обратитесь к этому руководству здесь, как настроить аутентификацию сертификата.
ПРИМЕЧАНИЕ. После внесения изменений используйте sudo /etc/init.d/ssh restart. Чтобы подключиться к другому порту с помощью ssh, используйте: ssh username@hostname.com -p <port_number>.
Пожалуйста, посмотрите здесь о том, как настроить чрезвычайно мощный и эффективный брандмауэр, интегрированный в Linux, ПРИМЕЧАНИЕ: .
. Я использую лично и быстро ум - Fail2Ban. Fail2ban будет отслеживать ваши файлы журналов для неудачных попыток входа в систему. После того, как IP-адрес превысил максимальное количество попыток аутентификации, он будет заблокирован на сетевом уровне, и событие будет зарегистрировано в /var/log/fail2ban.log. Чтобы установить его: sudo apt-get install fail2ban
Существует команда linux с именем history, которая позволяет вам видеть, какие команды были введены до этого точка. Попробуйте ввести history в терминал, чтобы просмотреть все команды до этой точки.
root try: history | grep command-name
Чтобы просмотреть все команды после ssh: fc -l ssh
Вы также можете перечислить все команды после ssh (не пробовал это vim, хотя я предполагаю, что он работает также): fc -e vi
Вы также можете удалить history: history -c
удалить историю Если вы не являетесь поклонником команды history, в вашем домашнем каталоге также есть файл (cd ~), который называется no (если вы используете bash), чтобы вы могли cat видеть все, что было введено в оболочке bash.
Немного перебор, но вы можете увидеть все, что запускается в вашей системе, используя «соединитель событий процесса»:
http://www.outflux.net/blog/archives/2010/07 / 01 / отчетно-все-Execs /
Помимо входа в систему, нет надежного способа отслеживать / регистрировать действия пользователей после входа в систему, предполагая, что у них есть базовые знания Linux, они смогут отключить ведение журнала оболочки или просто запустить команды из других оболочек (например, python).
Вместо этого вы должны быть консервативны относительно предоставления доступа ssh, действительно ли они действительно нужны? Не очень часто предоставляется доступ к SSH, если вы не находитесь в оболочке, предоставляющей бизнес.
[ОТКАЗ ОТ ОТВЕТСТВЕННОСТИ] Я понимаю, что опаздываю на вечеринку, но я хотел бы вставить ответ, который я дал другому вопросу, потому что я чувствую, что он может предложить хорошее понимание читателям, и этот вопрос кажется
Была аналогичная проблема, которая поразила меня после чтения другим вопросом здесь, на AskUbuntu и проверке моего VPS, только чтобы увидеть bazillion попыток грубой силы. Именно тогда я решил принять меры.
Теперь в соответствии с вопросом, с которым я связан, если вы хотите увидеть неудачные попытки входа в систему на вашем компьютере по сравнению с ssh (могут быть попытки грубой силы или что-то еще), попробуйте ввести следующее:
grep sshd.\*Failed /var/log/auth.log | less
Если вывод состоит из нескольких строк, это много попыток грубой силы, особенно если они произошли между короткими интервалами, вы можете сделать следующие действия:
Для этого откройте файл, расположенный в [DISCLAIMER] , с вашим любимым редактором, например vim /etc/ssh/sshd_config.
1. Попробуйте переместить ssh из порта 22: Теперь найдите строку, которая читает:
# What ports, IPs and protocols we listen for
Port 22
и закомментирует порт 22, и используйте любого, кого вы можете. Пример:
# What ports, IPs and protocols we listen for
# Port 22
Port 28934
1. Попробуйте переместить ssh из порта 22 Я не знаю, как это может помешать ему, но я просто говорю.
2. Отключить корневые логины через ssh: поскольку имя пользователя root является предсказуемым и обеспечивает полный доступ к вашей системе, предоставление неограниченного доступа к этой учетной записи через SSH неразумно. Найдите строку чтения PermitRootLogin и установите ее на нет.
PermitRootLogin no
2. Отключите корневые логины через ssh : создайте и используйте SSH-ключи для входа в систему. Без использования паролей злоумышленники должны угадать (или украсть) ваш закрытый ключ SSH, чтобы получить доступ к вашему серверу. Что-то очень сложное. Продолжайте искать строку, которая читает PermitRootLogin и не задает ее
PasswordAuthentication no
Сгенерировать и использовать SSH-ключи Прежде чем это сделать, обратитесь к этому руководству здесь, как настроить аутентификацию сертификата.
ПРИМЕЧАНИЕ. После внесения изменений используйте sudo /etc/init.d/ssh restart. Чтобы подключиться к другому порту с помощью ssh, используйте: ssh username@hostname.com -p <port_number>.
Пожалуйста, посмотрите здесь о том, как настроить чрезвычайно мощный и эффективный брандмауэр, интегрированный в Linux, ПРИМЕЧАНИЕ: .
. Я использую лично и быстро ум - Fail2Ban. Fail2ban будет отслеживать ваши файлы журналов для неудачных попыток входа в систему. После того, как IP-адрес превысил максимальное количество попыток аутентификации, он будет заблокирован на сетевом уровне, и событие будет зарегистрировано в /var/log/fail2ban.log. Чтобы установить его: sudo apt-get install fail2ban
Существует команда linux с именем history, которая позволяет вам видеть, какие команды были введены до этого точка. Попробуйте ввести history в терминал, чтобы просмотреть все команды до этой точки.
root try: history | grep command-name
Чтобы просмотреть все команды после ssh: fc -l ssh
Вы также можете перечислить все команды после ssh (не пробовал это vim, хотя я предполагаю, что он работает также): fc -e vi
Вы также можете удалить history: history -c
удалить историю Если вы не являетесь поклонником команды history, в вашем домашнем каталоге также есть файл (cd ~), который называется no (если вы используете bash), чтобы вы могли cat видеть все, что было введено в оболочке bash.
Помимо входа в систему, нет надежного способа отслеживать / регистрировать действия пользователей после входа в систему, предполагая, что у них есть базовые знания Linux, они смогут отключить ведение журнала оболочки или просто запустить команды из других оболочек (например, python).
Вместо этого вы должны быть консервативны относительно предоставления доступа ssh, действительно ли они действительно нужны? Не очень часто предоставляется доступ к SSH, если вы не находитесь в оболочке, предоставляющей бизнес.
Немного перебор, но вы можете увидеть все, что запускается в вашей системе, используя «соединитель событий процесса»:
http://www.outflux.net/blog/archives/2010/07 / 01 / отчетно-все-Execs /
[ОТКАЗ ОТ ОТВЕТСТВЕННОСТИ] Я понимаю, что опаздываю на вечеринку, но я хотел бы вставить ответ, который я дал другому вопросу, потому что я чувствую, что он может предложить хорошее понимание читателям, и этот вопрос кажется
Была аналогичная проблема, которая поразила меня после чтения другим вопросом здесь, на AskUbuntu и проверке моего VPS, только чтобы увидеть bazillion попыток грубой силы. Именно тогда я решил принять меры.
Теперь в соответствии с вопросом, с которым я связан, если вы хотите увидеть неудачные попытки входа в систему на вашем компьютере по сравнению с ssh (могут быть попытки грубой силы или что-то еще), попробуйте ввести следующее:
grep sshd.\*Failed /var/log/auth.log | less
Если вывод состоит из нескольких строк, это много попыток грубой силы, особенно если они произошли между короткими интервалами, вы можете сделать следующие действия:
Для этого откройте файл, расположенный в [DISCLAIMER] , с вашим любимым редактором, например vim /etc/ssh/sshd_config.
1. Попробуйте переместить ssh из порта 22: Теперь найдите строку, которая читает:
# What ports, IPs and protocols we listen for
Port 22
и закомментирует порт 22, и используйте любого, кого вы можете. Пример:
# What ports, IPs and protocols we listen for
# Port 22
Port 28934
1. Попробуйте переместить ssh из порта 22 Я не знаю, как это может помешать ему, но я просто говорю.
2. Отключить корневые логины через ssh: поскольку имя пользователя root является предсказуемым и обеспечивает полный доступ к вашей системе, предоставление неограниченного доступа к этой учетной записи через SSH неразумно. Найдите строку чтения PermitRootLogin и установите ее на нет.
PermitRootLogin no
2. Отключите корневые логины через ssh : создайте и используйте SSH-ключи для входа в систему. Без использования паролей злоумышленники должны угадать (или украсть) ваш закрытый ключ SSH, чтобы получить доступ к вашему серверу. Что-то очень сложное. Продолжайте искать строку, которая читает PermitRootLogin и не задает ее
PasswordAuthentication no
Сгенерировать и использовать SSH-ключи Прежде чем это сделать, обратитесь к этому руководству здесь, как настроить аутентификацию сертификата.
ПРИМЕЧАНИЕ. После внесения изменений используйте sudo /etc/init.d/ssh restart. Чтобы подключиться к другому порту с помощью ssh, используйте: ssh username@hostname.com -p <port_number>.
Пожалуйста, посмотрите здесь о том, как настроить чрезвычайно мощный и эффективный брандмауэр, интегрированный в Linux, ПРИМЕЧАНИЕ: .
. Я использую лично и быстро ум - Fail2Ban. Fail2ban будет отслеживать ваши файлы журналов для неудачных попыток входа в систему. После того, как IP-адрес превысил максимальное количество попыток аутентификации, он будет заблокирован на сетевом уровне, и событие будет зарегистрировано в /var/log/fail2ban.log. Чтобы установить его: sudo apt-get install fail2ban
Существует команда linux с именем history, которая позволяет вам видеть, какие команды были введены до этого точка. Попробуйте ввести history в терминал, чтобы просмотреть все команды до этой точки.
root try: history | grep command-name
Чтобы просмотреть все команды после ssh: fc -l ssh
Вы также можете перечислить все команды после ssh (не пробовал это vim, хотя я предполагаю, что он работает также): fc -e vi
Вы также можете удалить history: history -c
удалить историю Если вы не являетесь поклонником команды history, в вашем домашнем каталоге также есть файл (cd ~), который называется no (если вы используете bash), чтобы вы могли cat видеть все, что было введено в оболочке bash.
Помимо входа в систему, нет надежного способа отслеживать / регистрировать действия пользователей после входа в систему, предполагая, что у них есть базовые знания Linux, они смогут отключить ведение журнала оболочки или просто запустить команды из других оболочек (например, python).
Вместо этого вы должны быть консервативны относительно предоставления доступа ssh, действительно ли они действительно нужны? Не очень часто предоставляется доступ к SSH, если вы не находитесь в оболочке, предоставляющей бизнес.
Немного перебор, но вы можете увидеть все, что запускается в вашей системе, используя «соединитель событий процесса»:
http://www.outflux.net/blog/archives/2010/07 / 01 / отчетно-все-Execs /
[ОТКАЗ ОТ ОТВЕТСТВЕННОСТИ] Я понимаю, что опаздываю на вечеринку, но я хотел бы вставить ответ, который я дал другому вопросу, потому что я чувствую, что он может предложить хорошее понимание читателям, и этот вопрос кажется
Была аналогичная проблема, которая поразила меня после чтения другим вопросом здесь, на AskUbuntu и проверке моего VPS, только чтобы увидеть bazillion попыток грубой силы. Именно тогда я решил принять меры.
Теперь в соответствии с вопросом, с которым я связан, если вы хотите увидеть неудачные попытки входа в систему на вашем компьютере по сравнению с ssh (могут быть попытки грубой силы или что-то еще), попробуйте ввести следующее:
grep sshd.\*Failed /var/log/auth.log | less
Если вывод состоит из нескольких строк, это много попыток грубой силы, особенно если они произошли между короткими интервалами, вы можете сделать следующие действия:
Для этого откройте файл, расположенный в [DISCLAIMER] , с вашим любимым редактором, например vim /etc/ssh/sshd_config.
1. Попробуйте переместить ssh из порта 22: Теперь найдите строку, которая читает:
# What ports, IPs and protocols we listen for
Port 22
и закомментирует порт 22, и используйте любого, кого вы можете. Пример:
# What ports, IPs and protocols we listen for
# Port 22
Port 28934
1. Попробуйте переместить ssh из порта 22 Я не знаю, как это может помешать ему, но я просто говорю.
2. Отключить корневые логины через ssh: поскольку имя пользователя root является предсказуемым и обеспечивает полный доступ к вашей системе, предоставление неограниченного доступа к этой учетной записи через SSH неразумно. Найдите строку чтения PermitRootLogin и установите ее на нет.
PermitRootLogin no
2. Отключите корневые логины через ssh : создайте и используйте SSH-ключи для входа в систему. Без использования паролей злоумышленники должны угадать (или украсть) ваш закрытый ключ SSH, чтобы получить доступ к вашему серверу. Что-то очень сложное. Продолжайте искать строку, которая читает PermitRootLogin и не задает ее
PasswordAuthentication no
Сгенерировать и использовать SSH-ключи Прежде чем это сделать, обратитесь к этому руководству здесь, как настроить аутентификацию сертификата.
ПРИМЕЧАНИЕ. После внесения изменений используйте sudo /etc/init.d/ssh restart. Чтобы подключиться к другому порту с помощью ssh, используйте: ssh username@hostname.com -p <port_number>.
Пожалуйста, посмотрите здесь о том, как настроить чрезвычайно мощный и эффективный брандмауэр, интегрированный в Linux, ПРИМЕЧАНИЕ: .
. Я использую лично и быстро ум - Fail2Ban. Fail2ban будет отслеживать ваши файлы журналов для неудачных попыток входа в систему. После того, как IP-адрес превысил максимальное количество попыток аутентификации, он будет заблокирован на сетевом уровне, и событие будет зарегистрировано в /var/log/fail2ban.log. Чтобы установить его: sudo apt-get install fail2ban
Существует команда linux с именем history, которая позволяет вам видеть, какие команды были введены до этого точка. Попробуйте ввести history в терминал, чтобы просмотреть все команды до этой точки.
root try: history | grep command-name
Чтобы просмотреть все команды после ssh: fc -l ssh
Вы также можете перечислить все команды после ssh (не пробовал это vim, хотя я предполагаю, что он работает также): fc -e vi
Вы также можете удалить history: history -c
удалить историю Если вы не являетесь поклонником команды history, в вашем домашнем каталоге также есть файл (cd ~), который называется no (если вы используете bash), чтобы вы могли cat видеть все, что было введено в оболочке bash.
Помимо входа в систему, нет надежного способа отслеживать / регистрировать действия пользователей после входа в систему, предполагая, что у них есть базовые знания Linux, они смогут отключить ведение журнала оболочки или просто запустить команды из других оболочек (например, python).
Вместо этого вы должны быть консервативны относительно предоставления доступа ssh, действительно ли они действительно нужны? Не очень часто предоставляется доступ к SSH, если вы не находитесь в оболочке, предоставляющей бизнес.
Немного перебор, но вы можете увидеть все, что запускается в вашей системе, используя «соединитель событий процесса»:
http://www.outflux.net/blog/archives/2010/07 / 01 / отчетно-все-Execs /
[ОТКАЗ ОТ ОТВЕТСТВЕННОСТИ] Я понимаю, что опаздываю на вечеринку, но я хотел бы вставить ответ, который я дал другому вопросу, потому что я чувствую, что он может предложить хорошее понимание читателям, и этот вопрос кажется
Была аналогичная проблема, которая поразила меня после чтения другим вопросом здесь, на AskUbuntu и проверке моего VPS, только чтобы увидеть bazillion попыток грубой силы. Именно тогда я решил принять меры.
Теперь в соответствии с вопросом, с которым я связан, если вы хотите увидеть неудачные попытки входа в систему на вашем компьютере по сравнению с ssh (могут быть попытки грубой силы или что-то еще), попробуйте ввести следующее:
grep sshd.\*Failed /var/log/auth.log | less
Если вывод состоит из нескольких строк, это много попыток грубой силы, особенно если они произошли между короткими интервалами, вы можете сделать следующие действия:
Для этого откройте файл, расположенный в [DISCLAIMER] , с вашим любимым редактором, например vim /etc/ssh/sshd_config.
1. Попробуйте переместить ssh из порта 22: Теперь найдите строку, которая читает:
# What ports, IPs and protocols we listen for
Port 22
и закомментирует порт 22, и используйте любого, кого вы можете. Пример:
# What ports, IPs and protocols we listen for
# Port 22
Port 28934
1. Попробуйте переместить ssh из порта 22 Я не знаю, как это может помешать ему, но я просто говорю.
2. Отключить корневые логины через ssh: поскольку имя пользователя root является предсказуемым и обеспечивает полный доступ к вашей системе, предоставление неограниченного доступа к этой учетной записи через SSH неразумно. Найдите строку чтения PermitRootLogin и установите ее на нет.
PermitRootLogin no
2. Отключите корневые логины через ssh : создайте и используйте SSH-ключи для входа в систему. Без использования паролей злоумышленники должны угадать (или украсть) ваш закрытый ключ SSH, чтобы получить доступ к вашему серверу. Что-то очень сложное. Продолжайте искать строку, которая читает PermitRootLogin и не задает ее
PasswordAuthentication no
Сгенерировать и использовать SSH-ключи Прежде чем это сделать, обратитесь к этому руководству здесь, как настроить аутентификацию сертификата.
ПРИМЕЧАНИЕ. После внесения изменений используйте sudo /etc/init.d/ssh restart. Чтобы подключиться к другому порту с помощью ssh, используйте: ssh username@hostname.com -p <port_number>.
Пожалуйста, посмотрите здесь о том, как настроить чрезвычайно мощный и эффективный брандмауэр, интегрированный в Linux, ПРИМЕЧАНИЕ: .
. Я использую лично и быстро ум - Fail2Ban. Fail2ban будет отслеживать ваши файлы журналов для неудачных попыток входа в систему. После того, как IP-адрес превысил максимальное количество попыток аутентификации, он будет заблокирован на сетевом уровне, и событие будет зарегистрировано в /var/log/fail2ban.log. Чтобы установить его: sudo apt-get install fail2ban
Существует команда linux с именем history, которая позволяет вам видеть, какие команды были введены до этого точка. Попробуйте ввести history в терминал, чтобы просмотреть все команды до этой точки.
root try: history | grep command-name
Чтобы просмотреть все команды после ssh: fc -l ssh
Вы также можете перечислить все команды после ssh (не пробовал это vim, хотя я предполагаю, что он работает также): fc -e vi
Вы также можете удалить history: history -c
удалить историю Если вы не являетесь поклонником команды history, в вашем домашнем каталоге также есть файл (cd ~), который называется no (если вы используете bash), чтобы вы могли cat видеть все, что было введено в оболочке bash.
Помимо входа в систему, нет надежного способа отслеживать / регистрировать действия пользователей после входа в систему, предполагая, что у них есть базовые знания Linux, они смогут отключить ведение журнала оболочки или просто запустить команды из других оболочек (например, python).
Вместо этого вы должны быть консервативны относительно предоставления доступа ssh, действительно ли они действительно нужны? Не очень часто предоставляется доступ к SSH, если вы не находитесь в оболочке, предоставляющей бизнес.
Немного перебор, но вы можете увидеть все, что запускается в вашей системе, используя «соединитель событий процесса»:
http://www.outflux.net/blog/archives/2010/07 / 01 / отчетно-все-Execs /