Gentoo Linux에서 SSH 액세스를 모니터링하는 가장 효과적인 방법은 무엇입니까?
내 젠투 상자는 내 광대역 라우터 뒤에서 로컬로 실행됩니다. 내 라우터에 SSH 포트 전달이 있고 인터넷에서 내 라우터를 가리키는 DNS 항목이 있습니다. 내 젠투 상자의 들어오는 연결이 어떤 외부 도메인/IP에서 오는지 자동으로 기록하는 방법이 있습니까?
마찬가지로, 소음을 발생시키지 않고 이 상자에서 들어오고 나가는 모든 네트워크 트래픽을 기록하는 가장 좋은 방법은 무엇입니까?
답변1
사용자 인증 이벤트는 일반적으로 syslog 데몬에 의해 /var/log에 기록됩니다. 기본 위치는 배포판에 따라 다르지만 일반적으로 /var/log/auth, /var/log/auth.log, /var/log/secure입니다. 저는 Gentoo 시스템을 가지고 있지 않지만 기본 설치에서는 syslog-ng를 사용하고 이러한 이벤트를 /var/log/auth.log에 기록합니다.
네트워크 트래픽을 감사하는 방법에는 여러 가지가 있으며 가장 좋은 방법은 유지해야 하는 세부 정보 수준과 모니터링을 완료하는 데 사용할 수 있는 추가 장비에 따라 다릅니다.
시스템이 손상될 위험이 우려되는 경우 선택한 감사 솔루션을 모니터링 중인 시스템(로깅 제외)에 액세스할 수 없는 다른 시스템으로 전달하는 것을 고려해야 합니다. 성공적인 공격자는 로컬 로깅 시스템에서 위반 증거를 삭제할 수 있습니다.
답변2
이를 수행하기 위한 많은 솔루션이 있습니다. 예를 들어 iptraf패키지는 tcpdump 패킷을 저장할 수 있습니다.