Linux日志审计

Question

我想监视Linux盒中的ssh登录: who、where (IP地址)和when。如何打开相关日志？请提供一份简单的文件。

Answer 1

请提供有关您使用的SSH服务器的更多信息(OpenSSH、下拉列表等)。我在用OpenSSH-6.6。它的配置文件通常在"/etc/ssh/sshd_config“中找到，尽管您可以将自己的配置文件指定给服务器作为" -f”选项的参数(例如，"sshd -f /my/config/ file ")。配置文件有两个您感兴趣的选项：

• "SyslogFacility"，根据docs:给出在记录来自sshd(8)的消息时使用的工具代码
• "LogLevel"，根据docs:给出在记录来自sshd(8)的消息时使用的详细级别

我在“/etc/ssh/sshd_config”中的设置：

SyslogFacility AUTH
LogLevel INFO

您还可能希望安装一些日志守护程序，如rsyslog或metalog，以处理所有日志记录的去处。我已经安装了"rsyslog“，它被配置为将所有设施"AUTH”的日志记录删除到"/var/log/auth.log"，在其中我可以找到如下行：

May 28 20:54:33 MY-HOSTNAME-HERE sshd[2025]: Accepted password for myuser from 127.0.0.1 port 50984 ssh2
May 28 20:54:34 MY-HOSTNAME-HERE sshd[2025]: pam_unix(sshd:session): session opened for user myuser by (uid=0)
May 28 20:55:12 MY-HOSTNAME-HERE sshd[2107]: Received disconnect from 127.0.0.1: 11: disconnected by user
May 28 20:55:12 MY-HOSTNAME-HERE sshd[2025]: pam_unix(sshd:session): session closed for user myuser

我想这就是你要找的东西。使rsyslog放入该文件sshd日志记录的特定配置是：

auth,authpriv.*                 /var/log/auth.log

要在Debian衍生产品中安装这些软件，请执行以下操作：

$ sudo apt-get install rsyslog openssh-server

参考资料

• SSHD_CONFIG(5)：OpenSSH服务器的配置文件。
• SSHD(8)：OpenSSH服务器命令行手册。
• SYSLOG(3)：Linux程序员手册，描述工具和日志级别。
• RSYSLOG.CONF(5)：rsyslog守护进程的配置文件。
• RSYSLOGD(8)：rsyslog守护进程的命令行手册。

Answer 2

您可以在/var/log/messages中找到所需的大部分内容，这是Linux通常放置日志的地方。我通常使用root特权运行以下三个搜索，以获得一幅好的图片

grep -ir ssh /var/log/*
grep -ir breakin /var/log/*
grep -ir security /var/log/*