COMO SABER SE ESTÃO TENTANDO ACESSAR O SERVIDOR SEM PERMISSAO

ronaldosi
(usa Debian)

Enviado em 06/05/2009 - 20:53h

Boa Noite,
Eu preciso de umas dicas de como proteger meu servidor, meu conhecimento em Linux ainda é basico.
Na empresa que trabalho, sou responsavel pela rede.
Estou desconfiado que um determinado usuario esta realizando tentativas de acesso ao meu servidor linux para pegar arquivos, criar problemas e etc, a desconfiança é pelo comportamento do mesmo, não cheguei a perceber nada ainda tecnicamente.
Enfim, alguem saberia me dizer como posso saber se houveram tentativas, ou mesmo acessos.
existe forma de acessar o servidor sem as senhas de root.
Obrigado

klebrr
(usa Linux Mint)

Enviado em 07/05/2009 - 00:27h

existem os comandos:
# last
Para listar o acesso de usuarios no sistema (que logaram na maquina)

ou ainda o
# cat /proc/net/ip_conntrack
que vai listar as conexões ao servidor por ip e porta
para filtrar por ex. a porta 22 do SSH
# cat /proc/net/ip_conntrack |grep 'dport=22 '
vai listar apenas as conexões com destino a porta 22
tcp 6 431985 ESTABLISHED src=10.103.2.4 dst=10.90.2.1 sport=1023 dport=22 src=10.90.2.1 dst=10.103.2.4 sport=22 dport=1023 [ASSURED] use=1

downloadd
(usa Debian)

Enviado em 07/05/2009 - 02:17h

Os logs ficam na pasta:
/var/log

Os logs de acesso, ou tentativas de acesso através de nome de usuário e senha ficam no arquivo:
/var/log/auth.log

São gravados a data, hora, nome de usuário e ip que acessou ou tentou acessar.