Monitorar acessos SSH [RESOLVIDO]

1. Monitorar acessos SSH [RESOLVIDO]

patrickcampos
(usa Debian)

Enviado em 05/06/2017 - 17:28h

Temos um servidor na empresa, no qual os usuarios do suporte usam para acessar via SSH alguns clientes. Gostaria de monitorar os acessos que estão sendo realizados nos cliente pelos funcionários e guardar informações como data e hora de acesso, usuário que realizou acesso. Como consigo estas informações?

0 0

Quote

2. MELHOR RESPOSTA

signout
(usa Slackware)

Enviado em 06/06/2017 - 19:45h

Boas...
Uma das maneiras seria configurar o audit no servidor de origem.
Ele grava as informações no /var/audit/log e gera uma saida parecida com a abaixo utilizando o ausearch -c ssh

time->Tue Jun 6 19:42:13 2017
type=PATH msg=audit(1496788933.842:2449490): item=1 name=(null) inode=786477 dev=fd:00 mode=0100755 ouid=0 ogid=0 rdev=00:00 nametype=NORMAL
type=PATH msg=audit(1496788933.842:2449490): item=0 name="/usr/bin/ssh" inode=143273 dev=fd:00 mode=0100755 ouid=0 ogid=0 rdev=00:00 nametype=NORMAL
type=CWD msg=audit(1496788933.842:2449490): cwd="/home/usuario1"
type=EXECVE msg=audit(1496788933.842:2449490): argc=2 a0="ssh" a1="192.168.0.2"
type=SYSCALL msg=audit(1496788933.842:2449490): arch=c000003e syscall=59 success=yes exit=0 a0=ac4970 a1=aefb30 a2=acfcf0 a3=18 items=2 ppid=4825 pid=4928 auid=10000 uid=10000 gid=10000 euid=10000 suid=10000 fsuid=10000 egid=10000 sgid=10000 fsgid=10000 tty=pts0 ses=108184 comm="ssh" exe="/usr/bin/ssh" key=(null)

Espero que ajude.
[]s

0 0

Quote

3. Re: Monitorar acessos SSH [RESOLVIDO]

Carlos_Cunha
(usa Linux Mint)

Enviado em 06/06/2017 - 20:03h

Comandos abaixo devem ajudar....



last e lastlog

#-------------------------------------------------------------------------------------#
Administrador de Redes Mistas Linux/Windows
LPI 101-102
LPI 201
Para consultas particulares acesse:
www.cunhatec.com.br

"Falar é fácil, me mostre o código." - Linus Torvalds

0 0

Quote

4. Re: Monitorar acessos SSH [RESOLVIDO]

patrickcampos
(usa Debian)

Enviado em 07/06/2017 - 11:49h

signout escreveu:

Boas...
Uma das maneiras seria configurar o audit no servidor de origem.
Ele grava as informações no /var/audit/log e gera uma saida parecida com a abaixo utilizando o ausearch -c ssh

time->Tue Jun 6 19:42:13 2017
type=PATH msg=audit(1496788933.842:2449490): item=1 name=(null) inode=786477 dev=fd:00 mode=0100755 ouid=0 ogid=0 rdev=00:00 nametype=NORMAL
type=PATH msg=audit(1496788933.842:2449490): item=0 name="/usr/bin/ssh" inode=143273 dev=fd:00 mode=0100755 ouid=0 ogid=0 rdev=00:00 nametype=NORMAL
type=CWD msg=audit(1496788933.842:2449490): cwd="/home/usuario1"
type=EXECVE msg=audit(1496788933.842:2449490): argc=2 a0="ssh" a1="192.168.0.2"
type=SYSCALL msg=audit(1496788933.842:2449490): arch=c000003e syscall=59 success=yes exit=0 a0=ac4970 a1=aefb30 a2=acfcf0 a3=18 items=2 ppid=4825 pid=4928 auid=10000 uid=10000 gid=10000 euid=10000 suid=10000 fsuid=10000 egid=10000 sgid=10000 fsgid=10000 tty=pts0 ses=108184 comm="ssh" exe="/usr/bin/ssh" key=(null)

Espero que ajude.
[]s

Legal,

eu configurei o Audit, pesquisando em alguns foruns, os logs estão sendo gerados e tudo mais, porem não consigo realizar umas busca com o comando "ausearch -c ssh", me retorna "no matches", deveria configurar de alguma forma especifica o audit?

0 0

Quote

5. Re: Monitorar acessos SSH [RESOLVIDO]

signout
(usa Slackware)

Enviado em 07/06/2017 - 15:41h

Boas,
no final do arquivo /etc/audit/audit.rules, eu inclui

-a exit,always -F arch=b64 -S execve
-a exit,always -F arch=b32 -S execve

Também é interessante verificar o arquivo /etc/audit/auditd.conf para ver se os parametros de log atendem o que voce precisa:

num_logs
max_log_file

Espero que ajude.
[]s

0 0

Quote