Veröffentlicht 15. Dezember 200420 j Ich würde gerne eine Email erhalten sobald sich jemand auf unserem Server über SSH versucht einzuloggen: und zwar immer genau dann wenn jemand das passwort eingegeben hat und enter drückt, unabhängig davon ob das Passwort korrekt ist oder nicht. Wer kann mir sagen wo ich dazu sinvoll ansetzen muss?
15. Dezember 200420 j Genau wenn jemand Enter drückt wird es nicht immer gehen, es sei denn du modifizierst den sshd entsprechend. Eine einfachere Methode ist sich lesend auf das syslog zu hängen. sshd generiert dort einige interessante Einträge die man Abfangen kann: - Accepted password for user from 111.111.111.111 port 11111 ssh2 - Failed XYZ for illegal user user from 111.111.111.111 port 11111 ssh2 - refused connect from 111.111.111.111 etc.
21. Dezember 200420 j Hi! DevilDawn schrieb: Eine einfachere Methode ist sich lesend auf das syslog zu hängen. sshd generiert dort einige interessante Einträge die man Abfangen kann: Genau. Da baust du dir am besten eine kleines Bashscript und startest dieses dann über nen cronjob. Ist eigentlich sehr simpel.. #!/bin/bash TEMPFILE="/tmp/boxcheck.tmp.$$" cat /var/log/messages | grep "$DATUM" | grep -i "FAILED" | grep -i "root" | grep -v "tty" |> $TEMPFILE FAILLOGINCOUNT=`cat $TEMPFILE | wc -l` if [ $FAILLOGINCOUNT -ge 15 ] ; then echo "### WARNUNG: Es gab mehr als 15 root-Fail-Logins! " elif [ $FAILLOGINCOUNT -ge 1 ] ; then echo " Es gab folgende root-Fail-Logins:" fi cat $TEMPFILE fi #rm $TEMPFILE ==> wenn es wieder sauber sein soll! Musst natürlich das ganze etwas anpassen Grüße
21. Dezember 200420 j Autor ich habe selber an einer Lösung wie dieser gebastelt, aber das ist natürlich doch sehr komfortabel danke Vash
21. Dezember 200420 j Schreib doch einfach ein PAM Modul (Google: linux pam tutorial), damit hast Du ne saubere Lösung, das mit dem log-file durchsuchen ist für meinen Geschmack doch etwas frickelig.... Viel Erfolg, Stefan
22. Dezember 200420 j Autor das ist ein guter Tip, danke nun habe ich auch Lektüre für die Weihnachtszeit : http://www.kernel.org/pub/linux/libs/pam/Linux-PAM-html/
22. Dezember 200420 j Schreib doch einfach ein PAM Modul (Google: linux pam tutorial), damit hast Du ne saubere Lösung, das mit dem log-file durchsuchen ist für meinen Geschmack doch etwas frickelig.... Muss ich mal Kommentieren. Erstens hast du dann nur eine Lösung für Linux - Ein Shellscript dagegen sollte fast überall laufen (BSD, Unix). Zweitens:Ob es die "sauberere" Lösung ist hängt davon ab wie sauber das PAM geschrieben wird. Für ein einfaches Reporting in das Auth-System zu greifen bringt dir potentiell mehr Sicherheitslücken. Es gilt auch hier KISS (keep it simple, stupid!).
22. Dezember 200420 j Gibt es denn PAM ausschliesslich für Linux? Nein, pam würde ursprünglich auch von Sun entwickelt, und sollte auch bei anderen Unixen mitgeliefert sein. Die Frage ist nur, wie kompatibel sind die einzelnen pam versionen untereinander ? Und was devildawn auch schon geschrieben hat, ein Bash-Skript lässt sich wesentlich leichter portieren, als irgendwelche Systembibliotheken. Gruß Terran
5. Januar 200520 j Autor mangels Zeit und Lust habe ich mir ein einfaches Skript geschrieben was täglich kurz vor Mitternacht aufgerufen wird: #!/bin/bash TEMPFILE="/tmp/sshlogin.tmp.$$" cat /var/log/messages | grep sshd | grep "`date +"%b %e"`" > $TEMPFILE mail [email]email@provider.com[/email] -c [email]x@sonstwohin.de[/email] -s "SSHD" < $TEMPFILE
6. Januar 200520 j Hallo, das hab ich mal für meine Kiste zu Hause gebastelt. Eventuell hilft es Dir weiter. Den eMail Teil müsstest Du allerdings hinzufügen, sollte aber nicht weiter schwierig sein. Am besten mittels cron alle 24 Stunden neu starten um die Zähler zu resetten. #!/usr/bin/perl $log = "/var/log/messages"; $max_attempts = 5; $max_logins = 5; my %attempts = {}; my %logins = {}; open(LOGFILE,"tail -f $log |") || die "Error : Unable to open $log. ($!)\n"; $i = 0; while($line = <LOGFILE>) { $i++; if($i > 10) { if(($line =~ /(\w+)\s+(\d+)\s+(\d+:\d+:\d+)\s+(\w+)\ssshd.*Failed\spassword\sfor\sroot\sfrom(.*)\sport/) || $line =~ /(\w+)\s+(\d+)\s+(\d+:\d+:\d+)\s+(\w+)\ssshd.*Authentication\sfailure\sfor\sroot\sfrom\s(.*)\s/) { $date = $2 . " " . $1; $time = $3; $host = $4; $remote_host = $5; print "Alert: ($date - $time) Failed root login on $host from $remote_host\n"; $attempts{'$remote_host'} = $attempts{'$remote_host'} + 1; if($attempts{'$remote_host'} > $max_attempts) { print "ALERT!!! : Detected more than $max_attempts failed root login attempts on $host from $remote_host\n"; } } elsif($line =~ /(\w+)\s+(\d+)\s+(\d+:\d+:\d+)\s+(\w+)\ssshd.*for\sroot\sfrom\s(.*)\s/) { $date = $2 . " " . $1; $time = $3; $host = $4; $remote_host = $5; print "Alert: ($date - $time) root login from $remote_host on $host\n"; $logins{'$remote_host'} = $logins{'$remote_host'} + 1; if($logins{'$remote_host'} > $max_logins) { print "ALERT!!! : Detected more than $max_logins root logins on $host from $remote_host\n"; } } } }
Archiv
Dieses Thema wurde archiviert und kann nicht mehr beantwortet werden.