Aggiornamento 2016-10-31 sul formato del registro
Alcuni script per una corretta installazione
Esiste un metodo completamente utilizzabile per tracciare / registrare le connessioni ssh per chiave con estensione al nome utente.
introduzione
Oltre alla risposta di @Caleb, vorrei condividere alcuni piccoli trucchi lì:
Nota: sto lavorando su Debian 6.0 .
Installazione del server
Livello registro SSHD
Innanzitutto assicurarsi che la configurazione del server abbia un livello di registrazione sufficiente:
come root, questo imposterà ed effettuerà il login dettagliato:
sed '/^[^#]*LogLevel.*\(QUIET\|FATAL\|ERROR\|INFO\)/{s/^/# /;h;s/$/\nLogLevel VERBOSE/};${p;g;/./!{iLogLevel VERBOSE'$'\n;};D}' -i /etc/ssh/sshd_config
Potrebbe essere scritto:
sed '
/^[^#]*LogLevel.*\(QUIET\|FATAL\|ERROR\|INFO\)/{
s/^/# /;
h;
s/$/\nLogLevel VERBOSE/
};
${
p;
g;
/./!{
iLogLevel VERBOSE
};
D
}' -i /etc/ssh/sshd_config
o in uno script sed :
#!/bin/sed -f
/^[^#]*LogLevel.*\(QUIET\|FATAL\|ERROR\|INFO\)/{
s/^/# /;
h;
s/$/\nLogLevel VERBOSE/
};
${
p;
g;
/./!{
iLogLevel VERBOSE
};
D
}
Che potrebbe essere eseguito come:
patchSshdConfigLogLevel.sed -i /etc/ssh/sshd_config
Che per l' attivazione di questo:
service ssh restart
Syslog: rendere le impronte digitali leggibili dall'utente
Ora prendi le impronte digitali nel file leggibile dall'utente:
echo ':msg, regex, "Found matching .* key:" -/var/log/sshdusers.log' \
> /etc/rsyslog.d/ssh_key_user.conf
echo ':msg, regex, "Accepted publickey for" -/var/log/sshdusers.log' \
>> /etc/rsyslog.d/ssh_key_user.conf
service rsyslog restart
Prova a (ri) accedere da ssh per assicurarti che il nuovo file sshdusers.log
sia creato (e contenga qualcosa), quindi
chmod 644 /var/log/sshdusers.log
uso
Questo stamperà l'impronta digitale delle sessioni correnti:
sed -ne "/sshd.$PPID.:.*matching .SA key/{s/^.* //g;h};\${x;p}" /var/log/sshdusers.log
sed -ne "/sshd.\($(($(ps ho ppid $PPID)))\|$PPID\).:.*\(Accepted publickey\|matching .SA key\)/{s/^.* //g;h};\${x;p}" /var/log/sshdusers.log
Plug-in per .bashrc
E infine, c'è un piccolo componente aggiuntivo da mettere alla fine del tuo /etc/bash.bashrc
o dell'utente .bashrc
:
ssh_oPwd=$OLDPWD
ssh_oUmask=$(umask)
umask 077
ssh_tempdir=$(mktemp -d /tmp/ssh-id-XXXXXXX)
cd $ssh_tempdir || exit 1
ssh_crtFp=$(
sed -ne "/sshd.\($(($(ps ho ppid $PPID)))\|$PPID\).:.*\(Accepted publickey\|matching .SA key\)/{s/^.* //g;h};\${x;p}" /var/log/sshdusers.log
)
for ((ssh_i=1;ssh_i<=$(wc -l <$HOME/.ssh/authorized_keys);ssh_i++));do
export ssh_line="$(sed -ne ${ssh_i}p <$HOME/.ssh/authorized_keys)"
echo "$ssh_line" >tempKey
export ssh_lFp=($(ssh-keygen -l -f tempKey))
if [ "${ssh_lFp[1]}" == "$ssh_crtFp" ] ;then
export SSH_KEY_USER=${ssh_line##* }
break
fi
done
cd $OLDPWD
OLDPWD=$ssh_oPwd
rm -fR $ssh_tempdir
umask $ssh_oUmask
unset ssh_lFp ssh_line ssh_i ssh_crtFp ssh_tempdir ssh_oUmask ssh_oPwd
quindi dopo il login di nuovo da SSH, vedrai:
set | grep ^SSH
SSH_CLIENT='192.168.1.31 43734 22'
SSH_CONNECTION='192.168.1.31 43734 192.168.1.2 22'
SSH_KEY_USER=user@mydesk
SSH_TTY=/dev/pts/2
Nota In alcune installazioni, il file chiave autorizzato potrebbe avere un nome diverso, come $HOME/.ssh/authorized_keys2
...