Модуль PAM вызывает поток сессий SSH

Question

Модуль PAM вызывает поток сессий SSH

Пока хвостохранилища /var/log/auth.log Я заметил, что там, где несколько минут (мгновенно) вводятся записи для пользователя "foo". Лично у меня было только одно открытое соединение как пользователь "root_bar", когда я следил за auth.log (образец журнала ниже). Как видите, для этого входящего SSH-соединения нет IP-информации. Каков наилучший способ отследить IP-адрес для входящих соединений SSH?

Aug 10 14:30:04 ps2000 suexec: (pam_unix) session opened for user root_bar by (uid=999)
Aug 10 14:30:04 ps2000 suexec: (pam_unix) session closed for user root_bar
Aug 10 14:30:06 ps2000 suexec: (pam_unix) session opened for user root_bar by (uid=999)
Aug 10 14:30:06 ps2000 suexec: (pam_unix) session closed for user root_bar
Aug 10 14:30:08 ps2000 CRON[16879]: (pam_unix) session closed for user root_bar
Aug 10 14:30:14 ps2000 suexec: (pam_unix) session opened for user root_bar by (uid=999)
Aug 10 14:30:14 ps2000 suexec: (pam_unix) session closed for user root_bar
Aug 10 14:30:16 ps2000 suexec: (pam_unix) session opened for user root_bar by (uid=999)
Aug 10 14:30:16 ps2000 suexec: (pam_unix) session closed for user root_bar
Aug 10 14:30:27 ps2000 suexec: (pam_unix) session opened for user root_bar by (uid=999)
Aug 10 14:30:27 ps2000 suexec: (pam_unix) session closed for user root_bar
Aug 10 14:30:39 ps2000 suexec: (pam_unix) session opened for user root_bar by (uid=999)
Aug 10 14:30:39 ps2000 suexec: (pam_unix) session closed for user root_bar

Отказ от ответственности: имя_сервера, и вся информация пользователя была изменена в целях безопасности.

Исправление: На вопрос " Отслеживание входящих соединений SSH " правильно ответили плакаты ниже. Сессия suexec (pam_unix) не обязательно указывает на sshd активность, как пояснил @aseq, и я написал это как sshd из-за моего невежества. Поскольку первоначальный вопрос и его ответы полезны, я принимаю самый полезный ответ. Я думаю, что отслеживание suexec: (pam_unix) session является кандидатом на отдельный вопрос.

Последнее обновление: я обнаружил, что вышеприведенные сообщения имеют отношение к sshd. После некоторых настроек в /etc/pam.d/common-auth я начал видеть такие строки, как

Aug 10 16:45:23 candy_bass sshd[427]: (pam_unix) session opened for user summer_flag by (uid=0)
Aug 10 16:45:23 candy_bass sshd[427]: PAM pam_parse: expecting return value; [...sucess=1 default=ignore]
Aug 10 16:45:23 candy_bass sshd[427]: PAM pam_parse: expecting return value; [...sucess=1 default=ignore]
Aug 10 16:45:23 candy_bass sshd[427]: Accepted publickey for summer_flag from xxx.zzz.yyy.abc port 35964 ssh2
Aug 10 16:45:23 candy_bass sshd[427]: (pam_unix) session opened for user summer_flag by (uid=0)
Aug 10 16:45:23 candy_bass pam_limits[427]: setrlimit limit #11 to soft=-1, hard=-1 failed: Operation not permitted; uid=0 euid=0
Aug 10 16:45:23 candy_bass pam_limits[427]: setrlimit limit #12 to soft=-1, hard=-1 failed: Operation not permitted; uid=0 euid=0
Aug 10 16:45:23 candy_bass sshd[427]: (pam_unix) session closed for user summer_flag

Так что это относится к sshd, однако, поскольку это так специфично для поставщика токен-аутентификации (имя которого я не раскрываю для конфиденциальности), я думаю, что это может быть лучше решено поставщиком.

2

ssh authentication pam debian-etch

Источник

amateur barista 10 авг '12 в 22:01

4 ответа

Решение

Вы будете видеть, что соединения открываются и закрываются для SSH всякий раз, когда соединение установлено, независимо от того, успешно ли кто-то вошел в систему или нет.

Для просмотра дополнительной информации об успешных и неудачных попытках входа в систему через ssh, посмотрите на /var/log/secure и / или /var/log/messages,

*** Обратите внимание, что расположение может отличаться в зависимости от вашего дистрибутива Linux и / или вашего хостинг-провайдера.*

1

Источник

nojak 10 авг '12 в 22:14

Я решил волнение открытия и закрытия сессий на auth.log проблема закомментировав ChallengeResponseAuthentication а также UsePAM настройки на /etc/ssh/sshd_config от

ChallengeResponseAuthentication yes
UsePAM yes

в

#ChallengeResponseAuthentication yes
#UsePAM yes

Другими словами, я временно отключил модуль PAM, пока выясняю с его поставщиком правильные настройки.

0

Источник

amateur barista 11 авг '12 в 02:31

Если у вас есть доступ к пользователю root на сервере, вы можете использовать iptables для реализации оператора 'LOG' для всех НОВЫХ подключений на TCP-порте 22. Это добавит информацию в файл /var/log/messages, указывающую, какие соединения приходят входящий на ваш сервер.

Если вы работаете с IPv6, брандмауэр для этого будет iptables6, я полагаю.

0

Источник

Nick V 10 авг '12 в 22:11

Другие вопросы по тегам ssh authentication pam debian-etch

aseq 10 авг '12 в 22:11 2012-08-10 22:11 · Accepted Answer · 2012-08-10 22:11

Как выглядят эти записи журнала?

Сервер ssh должен регистрировать IP-адреса по умолчанию в /var/log/auth.log и других файлах журнала, таких как:

Aug 1 12:21:30 example.host sshd[1174]: Failed password for invalid user example from 192.0.2.1 port 9460 ssh2
Aug 1 12:21:32 example.host sshd[1176]: Invalid user root from 192.0.2.10

Если в записях журнала, о которых вы спрашиваете, нет строки "sshd", я сомневаюсь, что они на самом деле пришли с сервера ssh, и вам нужно искать в другом месте. Посмотрите, есть ли строка, которая идет после имени хоста, она говорит вам, какая программа записывала журнал.

Вы также можете проверить / etc / ssh / sshd_config и проверить правильность уровня логирования, по умолчанию squeeze:

# Logging
SyslogFacility AUTH
LogLevel INFO

Возможно, увеличение многословия может раскрыть больше информации. Запись журнала, которую вы добавили в свой вопрос, должна предшествовать записи в журнале, как вставлено выше.