Re: fichero de log de sshd (Aclaración)
He recibidio varios correos solicitando una aclaración sobre lo que quiero. Ahí va: - Quiero que cada vez que alguien entre o salga de una conexión por ssh, quede registrado en un fichero. - Quiero saber el nombre de ese fichero (me han dicho por privado que el fichero se llama "secure" pero no lo he encontrado) - Quiero que se registre TODO lo que el usuario remoto haga: comandos, salidas, etc. - Deseo que si alguien intenta usar mi sshd quede constancia (esto es para controlar si he recibido un escaneo del puerto, si ya sé que existen aplicaciones específicas para ello pero no quiero en este momento complicar más la cosa) Muchas gracias a todos. Atte Javier M Mora El Fri, 23 de Aug de 2002, a las 12:10:40AM +0200, Javier M Mora dijo: > Estoy ensanchando mi mundo (le he ampliado la red a mi ordenador ;-) > > Lo cierto es que estoy probando la conexión remota de mi equipo por > medio de ssh. Quiero extremar la seguridad en este sistema y quiero que > exista un fichero de log que registre todo lo que el usuario hace en el > ordenador por medio de una conexión remota. Como soy el único usuario > que voy a efectuar dicho tipo de conexiones no considero que haya > intromisión en mi propia intimidad. > > He leido los manuales de sshd y sshd_config y lo que he llegado a > encontrar es indicar que la opción "LogLevel" este puesta a "DEBUG". No > se para que sirve la opción "SyslogFacility" que esta a "AUTH"; pero > no encuentro el archivo con el log. He buscado en /var/log/. > > ¿Que me falta? La verdad es que ni San Google ni Nuestra Señora de > Altavista han aportado mucho sobre el asunto (me daban mezclado > información de ssh, openssh y distintas versiones e implementaciones) > > > Atte Javier M Mora > > > -- > To UNSUBSCRIBE, email to [EMAIL PROTECTED] > with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED] >
Re: fichero de log de sshd (Aclaración)
On Fri, 23 Aug 2002, Javier M Mora wrote: > He recibidio varios correos solicitando una aclaración sobre lo que > quiero. Ahí va: > > - Quiero que cada vez que alguien entre o salga de una conexión > por ssh, quede registrado en un fichero. > - Quiero saber el nombre de ese fichero (me han > dicho por privado que el fichero se llama "secure" pero no lo he > encontrado) > - Quiero que se registre TODO lo que el usuario remoto haga: > comandos, salidas, etc. > - Deseo que si alguien intenta usar mi sshd quede constancia (esto > es para controlar si he recibido un escaneo del puerto, si ya sé > que existen aplicaciones específicas para ello pero no quiero en > este momento complicar más la cosa) > > Muchas gracias a todos. > Atte Javier M Mora La verdad es que a mi tambien me interesa aunque una cosa así podría ser susceptible de ser usada a mala idea provocando denegación de servicio. A mi los puntos que creo que conviene vigilar más es el intento de ejecutar programas setuid o setguid para aprovechar alguna vulnerabilidad. También el intento de acceder a algún servicio vulnerable. Una vez que entran desde ssh ya están en tu maquina y se pueden saltar todo tipo de restricciones a otras máquinas. Si lo piensas bien en ambos casos se trata de aprovechar una vulnerabilidad en un programa que se ejecuta con euid root. También podrían aprovechar alguna vulnerabilidad en el propio servicio de ssh o de login o que logren dar con alguna clave de usuario por algún tipo de descuido o por ser una mala clave. Un saludo Antonio Castro +--+--+--+--+--+--+--+--+--+--+--+--+--+--+--+--+--+--+--+--+--+--+--+--+--+ /\ /\ Ciberdroide Informática (Tienda de Linux) \\W//<<< http://www.ciberdroide.com >>> _|0 0|_ +-oOOO--(___o___)--OOOo+ | . . . . U U . . . . Antonio Castro Snurmacher [EMAIL PROTECTED] | | . . . . . . . . . . | +()()()--()()()+ | *** 1.700 sitios clasificados por temas sobre Linux en ***Donde_Linux*** | | <<< http://www.ciberdroide.com/misc/donde/dondelinux.html >>>| +--+--+--+--+--+--+--+--+--+--+--+--+--+--+--+--+--+--+--+--+--+--+--+--+--+
Re: fichero de log de sshd (Aclaración)
Hola El 23 Aug 2002 a las 09:45AM +0200, Javier M Mora escribio: > He recibidio varios correos solicitando una aclaración sobre lo que > quiero. Ahí va: > > - Quiero que cada vez que alguien entre o salga de una conexión > por ssh, quede registrado en un fichero. Con el LogLevel VERBOSE te vale > - Quiero saber el nombre de ese fichero (me han > dicho por privado que el fichero se llama "secure" pero no lo he > encontrado) Por defecto en Debian, ssh registra en /var/log/auth.log > - Quiero que se registre TODO lo que el usuario remoto haga: > comandos, salidas, etc. había algún programa para esto, pero no lo recuerdo, era como "algo intermedio" entre el terminal (tty) que toca el usuario y el que le llega al sistema > - Deseo que si alguien intenta usar mi sshd quede constancia (esto > es para controlar si he recibido un escaneo del puerto, si ya sé > que existen aplicaciones específicas para ello pero no quiero en > este momento complicar más la cosa) LOG con iptables, supongo. > > Muchas gracias a todos. > Atte Javier M Mora > > El Fri, 23 de Aug de 2002, a las 12:10:40AM +0200, Javier M Mora dijo: > > Estoy ensanchando mi mundo (le he ampliado la red a mi ordenador ;-) > > > > Lo cierto es que estoy probando la conexión remota de mi equipo por > > medio de ssh. Quiero extremar la seguridad en este sistema y quiero que > > exista un fichero de log que registre todo lo que el usuario hace en el > > ordenador por medio de una conexión remota. Como soy el único usuario > > que voy a efectuar dicho tipo de conexiones no considero que haya > > intromisión en mi propia intimidad. > > > > He leido los manuales de sshd y sshd_config y lo que he llegado a > > encontrar es indicar que la opción "LogLevel" este puesta a "DEBUG". No > > se para que sirve la opción "SyslogFacility" que esta a "AUTH"; pero > > no encuentro el archivo con el log. He buscado en /var/log/. > > > > ¿Que me falta? La verdad es que ni San Google ni Nuestra Señora de > > Altavista han aportado mucho sobre el asunto (me daban mezclado > > información de ssh, openssh y distintas versiones e implementaciones) > > > > > > Atte Javier M Mora > > > > > > -- > > To UNSUBSCRIBE, email to [EMAIL PROTECTED] > > with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED] > > > > > -- > To UNSUBSCRIBE, email to [EMAIL PROTECTED] > with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED] -- Andres Seco Hernandez - http://andressh.alamin.org [EMAIL PROTECTED] - [EMAIL PROTECTED] GnuPG public information: pub 1024D/3A48C934 E61C 08A9 EBC8 12E4 F363 E359 EDAC BE0B 3A48 C934 -- Alamin GSM SMS Gateway - http://www.alamin.org Debian GNU/Linux - http://www.debian.org GNU/Linux de Guadalajara - http://gulalcarria.org Objetivo Subjetivo - http://objetivo.alamin.org http://guadawireless.net - http://www.redlibre.net http://guadalajara-zone.com -- Por favor, NO utilice formatos de archivo propietarios para el intercambio de documentos, como DOC y XLS, sino HTML, RTF, TXT, CSV o cualquier otro que no obligue a utilizar un programa de un fabricante concreto para tratar la información contenida en él.
Re: fichero de log de sshd (Aclaración)
> > > He recibidio varios correos solicitando una aclaración sobre lo que > > quiero. Ahí va: > > > > - Quiero que cada vez que alguien entre o salga de una conexión > > por ssh, quede registrado en un fichero. ssh puede utilizar syslog para registrar estos eventos. Creo que lo hace utilizando la facility auth. > > - Quiero saber el nombre de ese fichero (me han > > dicho por privado que el fichero se llama "secure" pero no lo he > > encontrado) Por el mecanismo anterior, el nombre dependerá de la configuración que tengas del syslog. A mi me lo deja en el authlog. > > - Quiero que se registre TODO lo que el usuario remoto haga: > > comandos, salidas, etc. Esto ya no es cosa del ssh. Una vez que el usuario queda autenticado en el sistema, obtiene una shell como se puede obtener directamente desde consola, no hay ninguna diferencia. Quizás para tener esto tendrás que configurar algún sistema de auditoría. > > - Deseo que si alguien intenta usar mi sshd quede constancia (esto > > es para controlar si he recibido un escaneo del puerto, si ya sé > > que existen aplicaciones específicas para ello pero no quiero en > > este momento complicar más la cosa) > > De nuevo la solución está en el syslog. -- Angel L. Mateo Redes y Comunicaciones - ATICA Tfo: +34 968 367590 Universidad de MurciaFax: +34 968 363389 Edificio D, Campus de Espinardo CP: 30100, Murcia
Re: fichero de log de sshd (Aclaración)
Angel L. Mateo dijo: > > > - Quiero que se registre TODO lo que el usuario remoto haga: > > > comandos, salidas, etc. > > Esto ya no es cosa del ssh. Una vez que el usuario queda > autenticado en el sistema, obtiene una shell como se puede > obtener directamente desde consola, no hay ninguna diferencia. > Quizás para tener esto tendrás que configurar algún sistema de > auditoría. [EMAIL PROTECTED]>dpkg -l | grep snoopy ii snoopy 1.3-3 An execve() wrapper and logger Deja en /var/log/auth.log todo lo que ejecuta un usuario. Ejemplo: [EMAIL PROTECTED]>sudo tail -f /var/log/auth.log ago 27 19:47:26 aenima snoopy[4551]: [amaya, uid:1000 sid:2897]: sudo tail -f /var/log/auth.log -- .''`. Life is WYGIWYD: What You Get Is What You Deserve : :' : `. `' Proudly running Debian GNU/Linux Sid (2.4.18 + Ext3) `-www.amayita.com www.malapecora.com www.chicasduras.com
Re: fichero de log de sshd (Aclaración)
unsubscribe debian-user-spanish@lists.debian.org - Original Message - From: "Amaya" <[EMAIL PROTECTED]> To: Sent: Tuesday, August 27, 2002 12:48 PM Subject: Re: fichero de log de sshd (Aclaración) > Angel L. Mateo dijo: > > > > - Quiero que se registre TODO lo que el usuario remoto haga: > > > > comandos, salidas, etc. > > > > Esto ya no es cosa del ssh. Una vez que el usuario queda > > autenticado en el sistema, obtiene una shell como se puede > > obtener directamente desde consola, no hay ninguna diferencia. > > Quizás para tener esto tendrás que configurar algún sistema de > > auditoría. > > [EMAIL PROTECTED]>dpkg -l | grep snoopy > ii snoopy 1.3-3 An execve() wrapper and logger > > Deja en /var/log/auth.log todo lo que ejecuta un usuario. > Ejemplo: > > [EMAIL PROTECTED]>sudo tail -f /var/log/auth.log > ago 27 19:47:26 aenima snoopy[4551]: [amaya, uid:1000 sid:2897]: sudo tail -f /var/log/auth.log > > -- > .''`. Life is WYGIWYD: What You Get Is What You Deserve > : :' : > `. `' Proudly running Debian GNU/Linux Sid (2.4.18 + Ext3) > `-www.amayita.com www.malapecora.com www.chicasduras.com > > > -- > To UNSUBSCRIBE, email to [EMAIL PROTECTED] > with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED] > >