SSHD log

[velo]

hallo,

ich kann die logdatei für sshd nicht finden. in /var/log/messages steht nicht das drin was ich mir erhofft hatte, oder muss ich den loglevel ändern (auf was?... in /etc/ssh/sshd_config), um alle ssh Eingaben zu speichern?

Ich wollte zur sicherheit alle Befehle, die über ssh kommen, loggen. (Am besten mit IP)

dankend für einen Hinweis!

[jtb]

du weißt, dass das nach nach ausdrücklicher Informierung der Benutzer zulässig ist?

btw: was soll das? wenn jemand root-Rechte erlangt, wird er zuerst die Logs überprüfen..

[velo]

du weißt, dass das nach nach ausdrücklicher Informierung der Benutzer zulässig ist?

Danke für den Hinweis. Ich weise darauf hin, sobald sich jemand einloggt...also als Start-Nachricht. Werden eigentlich Passworteingaben auch geloggt? Denn das muss nicht unbedingt sein.

btw: was soll das? wenn jemand root-Rechte erlangt, wird er zuerst die Logs überprüfen..

Ist mir klar, aber ich versuche einen Mechanismuss einzubauen, der die entscheidenden logs regelmässig in sicherheit bringt und mit ein wenig Glück merkt der Angreifer nichts von dem Backup oder es ist dann schon zu spät. (Praktisch ein mirror)

[captaincrunch]

um alle ssh Eingaben zu speichern?

Wenn du die Benutzereingaben brauchst, kannst du dir ganz simpel die ~USER/.bash_history schnappen, und die auswerten. Dazu brauchst du deinen sshd nicht zu malträtieren ... andererseits halte ich das ganze für ziemlich sinnbefereit, aber wenn du so ruhiger schlafen kannst : bitteschön ...

Ist mir klar, aber ich versuche einen Mechanismuss einzubauen, der die entscheidenden logs regelmässig in sicherheit bringt und mit ein wenig Glück merkt der Angreifer nichts von dem Backup oder es ist dann schon zu spät. (Praktisch ein mirror)

Sorry, aber wenn ich schon "mit viel Glück" lese, kann ich nur "Gute Nacht !" sagen ... falls du etwas sinnvolles mit deinen Logs anfangen willst, schieb sie dir remote (z.B. per syslog-ng) auf einen anderen Rechner. Da liegen sie dann wenigstens etwas sicherer ...

[velo]

falls du etwas sinnvolles mit deinen Logs anfangen willst, schieb sie dir remote (z.B. per syslog-ng) auf einen anderen Rechner.

Sowas meinte ich auch. Jetzt musste ich feststellen, dass die History nicht gleich geschrieben wird, sondern erst, wenn die Verbindung des Client beendet wird.

Jetzt bräuchte man nur noch einen onchange event. Mal sehen wie man das am besten macht.

[dodolin]

Sowas meinte ich auch. Jetzt musste ich feststellen, dass die History nicht gleich geschrieben wird, sondern erst, wenn die Verbindung des Client beendet wird.

Jetzt bräuchte man nur noch einen onchange event. Mal sehen wie man das am besten macht.

Code: Select all

dodo@masterboy:~$ apropos flush
bdflush (2)          - start, flush, or tune buffer-dirty-flush daemon
cacheflush (2)       - flush contents of instruction and/or data cache
fflush (3)           - flush a stream
sync (1)             - flush filesystem buffers
tcflush (3)          - get and set terminal attributes, line control, get and set baud rate, get and set terminal foreground process group ID
XFlush (3x)          - handle output buffer or event queue

Du suchst "sync"?

Hm... ne. Gerade getestet, geht nicht.

Habe mich dann mal als user eingeloggt und nochmal als root. Dann als root mit lsof -uuser nachgeschaut, aber da wird keine Datei angezeigt, die für die History in Frage käme. Folgerung: Die Bash macht die History-Verwaltung wohl erst mal intern. Da kannst du - zumindest in Echtzeit - wohl nix machen.

Ich halte die Idee übrigens auch für sinnfrei.

[captaincrunch]

Da das ganze rechtlich ja ohnehin nicht ganz ohne ist : nimm doch einfach einen Keylogger ... :twisted:

Aber noch besser : schlag's dir einfach aus dem Kopf ...

[dea]

http://www.honeynet.org

In der Anleitung zum Honeypot steht unter anderem drin, wie man umfangreich und einigermaßen sicher loggt ...

braucht es dafür 20 posts?