SSH를 통해 서버에 액세스하는 IP 주소 기록

명령의 출력을 보면 lastIP 주소나 호스트 이름(공백 아님)이 있는 네트워크를 통해 들어오는 모든 항목을 볼 수 있습니다. 그것이 해당 시스템에서 수행할 수 있는 유일한 방법 이라면 sshd괜찮습니다.

또는 (Linux인 경우) 로그인에 성공하지 못하더라도 연결이 일반적으로 추적되는 위치 /var/log/secure(RH 기반 배포판에서) 또는 /var/log/auth.log(Debian 기반 배포판에서) 확인할 수 있습니다( / 클릭 , 읽을 내용은 어디입니까?) 에서). 예:sshdutmpwtmplast

Apr  3 16:21:01 xxxxxxvlp05 sshd[6266]: Connection closed by xxx.xxx.13.76
...
Apr  3 09:09:49 xxxxxxvlp05 sshd[26275]: Failed password for invalid user __super from xxx.xxx.13.76 port 45229 ssh2

IIRC Solaris sshd(반드시 OpenSSH일 필요는 없음 sshd)는 이 정보를 다음에 기록합니다./var/adm/messages

편집하다:

@derobert가 좋은 지적을합니다. 어떤 시스템에서든 슈퍼유저 계정이 손상되면 공격자가 다음 과 같은 /var/log/wtmp로그 파일을 수정할 수 있으므로 모든 베팅이 취소된다는 점을 기억하는 것이 중요합니다. /var/adm/messages로그를 서버에서 안전한 위치로 이동하면 이 문제를 완화할 수 있습니다.

예를 들어, 제가 한때 일했던 매장에는 데이터 센터의 다양한 서버로부터 감사 로그 파일만 수신하도록 보호되는 "감사 저장소" 시스템이 있었습니다. 앞으로도 비슷한 설정을 권장합니다. ("테스트 머신이 있습니다"라는 말은 대형 매장에서 운영하는 것처럼 들리기 때문입니다.)

서버에서 SSH 수신 연결 기록을 볼 수 있는 방법이 있습니까?

그러면 다음 목록이 제공됩니다.

$ zgrep sshd /var/log/auth.log* | grep rhost | sed -re 's/.*rhost=([^ ]+).*/\1/' | sort -u

geoiplookup그런 다음 패키지 의 콘텐츠를 사용하여 geoip-bin호스트 이름이나 IP 주소에서 해당 국가로 이동할 수 있습니다.

성공적인 로그인 시도만 보기:

zgrep sshd /var/log/auth.log* -h |grep -F 'Accepted'

~에서이것답변, 아래 메시지가 보입니다.

SSH 서버에 관해 이야기하면서 명령줄 솔루션을 제공하겠습니다.

사용자 로그인 및 로그아웃 추적. 간단합니다. 파일에 /var/log/auth.log이 정보가 포함되어야 합니다.

이 사용자의 활동을 추적하세요..bash_history: 다소 결백한 경우 홈 디렉터리에서 파일을 확인할 수 있습니다. 그들이 실행한 명령 목록이 표시됩니다. 물론 문제는 이 파일을 삭제하거나 편집할 수 있다는 것입니다.

사용자가 로그를 삭제하지 못하도록 방지: 사용자는 만져서는 안됩니다 auth.log. 그들이 놀지 못하게 하려면 bash_history몇 가지 트릭을 사용해야 합니다.

사용자가 루트 액세스 권한을 얻으면 어떻게 되나요?: 끝났습니다. 실수하지 않는 한, 그는 그의 모든 발걸음을 숨길 수 있을 것입니다.

게다가,이것대답은 이 변수를 사용하여 클라이언트의 IP 주소를 볼 수 있다는 것입니다 SSH_CLIENT.

또한이것답변, SSH 기록이 이 파일에 저장될 수 있는 것으로 확인됩니다.

, 및 외에도 /var/log/lastlog현재 로그인(및 추가 정보), 기록 로그인 및 실패한 로그인에 대한 정보를 포함하는 , 및 3개의 파일이 있습니다. 바라보다/var/run/var/logutmpwtmpbtmp위키피디아상세 설명. 일반 편집기를 사용하여 이러한 파일을 편집할 수는 없지만 삭제할 수는 있습니다.