Nâng cấp 2016-10-31 về định dạng nhật ký
Một số tập lệnh để cài đặt đúng
Có một phương pháp có thể sử dụng đầy đủ để theo dõi / đăng nhập các kết nối ssh bằng khóa với tên người dùng.
Giới thiệu
Ngoài anwer của @Caleb, tôi muốn chia sẻ một số mẹo nhỏ ở đó:
Lưu ý: Tôi đang làm việc trên Debian 6.0 .
Cài đặt máy chủ
Cấp độ nhật ký SSHD
Trước tiên, đảm bảo rằng cấu hình máy chủ có đủ mức ghi nhật ký:
là root, điều này sẽ thiết lập và loggin verbose hoạt động:
sed '/^[^#]*LogLevel.*\(QUIET\|FATAL\|ERROR\|INFO\)/{s/^/# /;h;s/$/\nLogLevel VERBOSE/};${p;g;/./!{iLogLevel VERBOSE'$'\n;};D}' -i /etc/ssh/sshd_config
Có thể được viết:
sed '
/^[^#]*LogLevel.*\(QUIET\|FATAL\|ERROR\|INFO\)/{
s/^/# /;
h;
s/$/\nLogLevel VERBOSE/
};
${
p;
g;
/./!{
iLogLevel VERBOSE
};
D
}' -i /etc/ssh/sshd_config
hoặc trong một kịch bản sed :
#!/bin/sed -f
/^[^#]*LogLevel.*\(QUIET\|FATAL\|ERROR\|INFO\)/{
s/^/# /;
h;
s/$/\nLogLevel VERBOSE/
};
${
p;
g;
/./!{
iLogLevel VERBOSE
};
D
}
Mà có thể được chạy như:
patchSshdConfigLogLevel.sed -i /etc/ssh/sshd_config
Hơn để kích hoạt điều này:
service ssh restart
Syslog: giúp người dùng có thể đọc dấu vân tay
Bây giờ lấy dấu vân tay trong tập tin người dùng có thể đọc được:
echo ':msg, regex, "Found matching .* key:" -/var/log/sshdusers.log' \
> /etc/rsyslog.d/ssh_key_user.conf
echo ':msg, regex, "Accepted publickey for" -/var/log/sshdusers.log' \
>> /etc/rsyslog.d/ssh_key_user.conf
service rsyslog restart
Hãy thử (đăng nhập lại) từ ssh để đảm bảo tệp mới sshdusers.log
được tạo (và chứa một cái gì đó), sau đó
chmod 644 /var/log/sshdusers.log
Sử dụng
Điều này sẽ in dấu vân tay của các phiên hiện tại:
sed -ne "/sshd.$PPID.:.*matching .SA key/{s/^.* //g;h};\${x;p}" /var/log/sshdusers.log
sed -ne "/sshd.\($(($(ps ho ppid $PPID)))\|$PPID\).:.*\(Accepted publickey\|matching .SA key\)/{s/^.* //g;h};\${x;p}" /var/log/sshdusers.log
Plug-in cho .bashrc
Và cuối cùng, có một tiện ích nhỏ để đặt ở cuối của /etc/bash.bashrc
người dùng hoặc của bạn .bashrc
:
ssh_oPwd=$OLDPWD
ssh_oUmask=$(umask)
umask 077
ssh_tempdir=$(mktemp -d /tmp/ssh-id-XXXXXXX)
cd $ssh_tempdir || exit 1
ssh_crtFp=$(
sed -ne "/sshd.\($(($(ps ho ppid $PPID)))\|$PPID\).:.*\(Accepted publickey\|matching .SA key\)/{s/^.* //g;h};\${x;p}" /var/log/sshdusers.log
)
for ((ssh_i=1;ssh_i<=$(wc -l <$HOME/.ssh/authorized_keys);ssh_i++));do
export ssh_line="$(sed -ne ${ssh_i}p <$HOME/.ssh/authorized_keys)"
echo "$ssh_line" >tempKey
export ssh_lFp=($(ssh-keygen -l -f tempKey))
if [ "${ssh_lFp[1]}" == "$ssh_crtFp" ] ;then
export SSH_KEY_USER=${ssh_line##* }
break
fi
done
cd $OLDPWD
OLDPWD=$ssh_oPwd
rm -fR $ssh_tempdir
umask $ssh_oUmask
unset ssh_lFp ssh_line ssh_i ssh_crtFp ssh_tempdir ssh_oUmask ssh_oPwd
Vì vậy, sau khi đăng nhập lại từ SSH, bạn sẽ thấy:
set | grep ^SSH
SSH_CLIENT='192.168.1.31 43734 22'
SSH_CONNECTION='192.168.1.31 43734 192.168.1.2 22'
SSH_KEY_USER=user@mydesk
SSH_TTY=/dev/pts/2
Lưu ý Trên một số cài đặt, tệp khóa được ủy quyền có thể đôi khi được đặt tên khác, như $HOME/.ssh/authorized_keys2
...