Как я могу видеть, кто и при удаленном входе к моему компьютеру?
Есть ли какой-либо файл журнала, который сохраняет информацию того, кто и при входе к моему использующему компьютеры ssh, sshfs или некоторому другому методу? Также возможно найти некоторую информацию о том, что он делал (как, например, файлы, переданные другой машине...)?
Я использую Ubuntu 14.04.
1 ответ
Да, (удаленные) логины зарегистрированы, а именно, в /var/log/auth.log.
Можно легко искать файл пароль логины SSH через
grep sshd.\*password.\* /var/log/auth.log
или для аутентификации с открытым ключом через:
grep sshd.\*publickey.\* /var/log/auth.log
Пример:
Jan 19 22:22:29 awesome-no-standard-model-server sshd [12883]: Принятый открытый ключ для nostandardmodel от 1d01:2031:3284:be99:c34d:d7ae:fa1:d4ba порт 33 324 ssh2: RSA SHA256:NRnnaK7EaRjGOBhb9qE7X12f5s5yfNzb9C32TTJ3VoI
Использовал ли пользователь SSH, чтобы заставить оболочку и команды выполнения, в файлы доступа в файловой системе, как туннель соединяться с некоторой другой машиной, как туннель к доступу, VNC, чтобы продвинуть мерзавцу repo или сделать что-либо еще, не имеет значения. Они все разоблачают способ, которым пример показывает его. Если пользователь использует SFTP и в тех же мелких нажатиях к repo 10 раз и открывает 20 сессий на терминале, Вы видите, что 31 такая запись упоминает пользователя, время, IP-адрес пользователя, и т.д., в ту минуту в журнале.
Существуют ли записи другого действия, сделанного пользователем, зависит от точного действия. Это может быть включено по умолчанию или потребность, которая будет включена при желании. Например, к файлу журнала передают действие через SFTP: https://serverfault.com/questions/73319/sftp-logging-is-there-a-way