SSH überwachen anhand der IP Adresse?

Rund um die Sicherheit des Systems und die Applikationen
Post Reply
Anonymous
 

SSH überwachen anhand der IP Adresse?

Post by Anonymous »

Hallo zusammen,

ist es möglich unter Debian den SSH login zu überwachen?

Folgendes: Ich habe zuhause Arcor und logge mich nur über Arcor per SSH ein (unserem Uninetzwerk traue ich nicht, und über andere Server macht keinen Sinn). Nun steht ja immer nett nach dem SSH login:
Last login: Fri Oct 5 11:28:46 2007 from dslb-xxx-xxx-xxx-xxx.pools.arcor-ip.net
Gibt es ein Script, dass prüft, ob der Login von *.arcor-ip.net stammt -- und mir im Notfall den Server runterfährt oder mich per Mail (sprich: SMS, denn mail2sms gibts ja) benachrichtigt?

Danke für alle Hinweise :)

Grüße,
jacko
Top
Roger Wilco
Posts: 5923
Joined: 2004-05-23 12:53
 

Re: SSH überwachen anhand der IP Adresse?

Post by Roger Wilco »

Du könntest einfach die Umgebungsvariable $SSH_CLIENT auslesen und nachsehen, ob sie aus dem Arcor-Netz stammt. Das lässt sich mit ein bisschen Perl/Python/Ruby/$Whatever bewerkstelligen.

Wenn dein sshd gegen tcp-wrappers gelinkt wurde, kannst du auch einfach einen Eintrag in der /etc/hosts.{allow,deny} erstellen, so dass ein Zugriff generell nur noch aus dem Arcor-Netz möglich ist. Mit Netfilter geht das natürlich auch unabhängig von tcp-wrappers.
Top
flo
Posts: 2223
Joined: 2002-07-28 13:02
Location: Berlin
 

Re: SSH überwachen anhand der IP Adresse?

Post by flo »

Roger Wilco wrote:Du könntest einfach die Umgebungsvariable $SSH_CLIENT auslesen und nachsehen, ob sie aus dem Arcor-Netz stammt. Das lässt sich mit ein bisschen Perl/Python/Ruby/$Whatever bewerkstelligen.
Das habe ich früher benutzt, um X auf das richtige Terminal zu lenken - funktioniert gut, protokolliert aber nur - der Login ist ja da schon erfolgt.

Mit letzterem sperrt man sich aus, wenn der Provider mal nen neuen IP-Block ohne rdns in Betrieb nimmt, oder?

flo.
Top
Roger Wilco
Posts: 5923
Joined: 2004-05-23 12:53
 

Re: SSH überwachen anhand der IP Adresse?

Post by Roger Wilco »

flo wrote:Das habe ich früher benutzt, um X auf das richtige Terminal zu lenken - funktioniert gut, protokolliert aber nur - der Login ist ja da schon erfolgt.
Richtig. Aber wenn das prüfende Skript die Login-Shell ist, kann es den Client auch ganz schnell wieder rauswerfen und eine Nachricht an den Administrator. Wenn der Benutzer berechtigt ist (also aus dem "richtigen" Netz kommt) kann eine normale Shell gestartet werden.
flo wrote:Mit letzterem sperrt man sich aus, wenn der Provider mal nen neuen IP-Block ohne rdns in Betrieb nimmt, oder?
Ja, richtig. Aber das war ja nicht die Frage. ;)
Top
flo
Posts: 2223
Joined: 2002-07-28 13:02
Location: Berlin
 

Re: SSH überwachen anhand der IP Adresse?

Post by flo »

Roger Wilco wrote:... prüfende Skript die Login-Shell ist, kann es den Client auch ganz schnell wieder rauswerfen und eine Nachricht an den Administrator ...
Gute Idee ... war wohl mal wieder zu lange heute und zuviele Netze in diesem Monat - hab Hirn schon ausgeschalten :-(
Roger Wilco wrote:... Aber das war ja nicht die Frage. ;)
Stimmt. Scheint aber öfter vorzukommen in letzter Zeit.
Top
Post Reply

Return to “Security”