Acesso via SSH [RESOLVIDO]

INFO SOFT
(usa Outra)

Enviado em 11/01/2017 - 14:29h

Olá amigos... Minha pergunta é a seguinte:

Imaginem a situação onde um Analista de TI desconfia de que foram feitas alterações no servidor Linux de uma empresa e o mesmo suspeita que foi feito um acesso não autorizado via SSH.

No Linux, existe algum arquivo, registro ou comando onde possamos descobrir os endereços IP que fizeram acesso remoto via SSH ao servidor?

toskoon
(usa CentOS)

Enviado em 11/01/2017 - 15:38h

Boa tarde, Cara usa o comando "last" ele exibe uma lista de usuários que logaram e cotem os ips. você pode olhar tem o log chamado secure no /var/log. no ubuntu não lembro de cabeça qual o log que registra mas o comando é o mesmo "last"

Abs.

INFO SOFT
(usa Outra)

Enviado em 11/01/2017 - 17:04h

Eu executei o comando "last", mas não consegui identificar os endereçços IP. Segue abaixo a resposta do comando "last". Alguém pode explicar essas colunas? Será que é esse mesmo o comando para mostrar quem se conectou remotamente ao servidor via SSH?

juliano pts/1 :0.0 Wed Jan 11 16:54 - 16:54 (00:00)
juliano pts/0 :0.0 Wed Jan 11 16:54 still logged in
juliano tty7 :0 Wed Jan 11 16:54 still logged in
(unknown tty7 :0 Wed Jan 11 16:53 - 16:54 (00:00)
reboot system boot 3.2.0-4-amd64 Wed Jan 11 16:53 - 16:54 (00:01)
juliano pts/0 :0.0 Wed Jan 11 08:21 - down (00:12)
juliano tty7 :0 Wed Jan 11 08:20 - down (00:13)
(unknown tty7 :0 Wed Jan 11 08:19 - 08:20 (00:01)
reboot system boot 3.2.0-4-amd64 Wed Jan 11 08:19 - 08:33 (00:14)
root pts/1 infosoft.local Mon Jan 9 14:24 - 14:32 (00:07)
root pts/1 infosoft.local Mon Jan 9 14:05 - 14:05 (00:00)
root pts/1 infosoft.local Mon Jan 9 14:00 - 14:01 (00:00)
root pts/1 infosoft.local Mon Jan 9 13:47 - 13:57 (00:09)
juliano pts/0 :0.0 Mon Jan 9 13:44 - 14:34 (00:49)
juliano tty7 :0 Mon Jan 9 13:44 - 14:35 (00:50)
(unknown tty7 :0 Mon Jan 9 13:44 - 13:44 (00:00)
reboot system boot 3.2.0-4-amd64 Mon Jan 9 13:44 - 14:35 (00:51)
juliano pts/0 :0.0 Fri Jan 6 09:04 - 09:04 (00:00)
juliano tty7 :0 Fri Jan 6 09:04 - 09:05 (00:01)
(unknown tty7 :0 Fri Jan 6 09:03 - 09:04 (00:00)
reboot system boot 3.2.0-4-amd64 Fri Jan 6 09:03 - 09:05 (00:01)
(unknown tty7 :0 Fri Jan 6 09:00 - crash (00:02)
reboot system boot 3.2.0-4-amd64 Fri Jan 6 08:59 - 09:05 (00:05)
juliano pts/0 :0.0 Tue Jan 3 11:20 - down (02:47)
juliano tty7 :0 Tue Jan 3 08:03 - down (06:04)
(unknown tty7 :0 Tue Jan 3 08:02 - 08:03 (00:00)
reboot system boot 3.2.0-4-amd64 Tue Jan 3 08:02 - 14:08 (06:05)
juliano pts/0 :0.0 Mon Jan 2 14:18 - down (03:27)
juliano tty7 :0 Mon Jan 2 14:18 - down (03:28)
(unknown tty7 :0 Mon Jan 2 14:16 - 14:18 (00:01)
reboot system boot 3.2.0-4-amd64 Mon Jan 2 14:16 - 17:46 (03:29)
juliano pts/0 :0.0 Mon Jan 2 11:06 - down (00:36)
juliano pts/1 :0.0 Mon Jan 2 10:57 - 11:00 (00:03)
juliano pts/0 :0.0 Mon Jan 2 10:51 - 11:04 (00:12)
juliano tty7 :0 Mon Jan 2 10:51 - down (00:51)
(unknown tty7 :0 Mon Jan 2 10:50 - 10:51 (00:00)
reboot system boot 3.2.0-4-amd64 Mon Jan 2 10:50 - 11:43 (00:52)
juliano pts/0 :0.0 Thu Dec 29 09:56 - down (00:19)
juliano tty7 :0 Thu Dec 29 09:55 - down (00:19)
(unknown tty7 :0 Thu Dec 29 09:55 - 09:55 (00:00)
reboot system boot 3.2.0-4-amd64 Thu Dec 29 09:54 - 10:15 (00:20)
juliano pts/0 :0.0 Tue Dec 27 09:57 - down (00:02)
juliano tty7 :0 Tue Dec 27 09:57 - down (00:02)
(unknown tty7 :0 Tue Dec 27 09:56 - 09:57 (00:00)
reboot system boot 3.2.0-4-amd64 Tue Dec 27 09:56 - 10:00 (00:03)
juliano pts/0 :0.0 Tue Dec 27 08:58 - 08:59 (00:01)
juliano tty7 :0 Tue Dec 27 08:58 - 08:59 (00:01)
(unknown tty7 :0 Tue Dec 27 08:57 - 08:58 (00:00)
reboot system boot 3.2.0-4-amd64 Tue Dec 27 08:57 - 08:59 (00:02)
juliano pts/0 :0.0 Sun Dec 25 21:31 - down (00:00)
juliano pts/0 :0.0 Sun Dec 25 21:25 - 21:30 (00:05)
juliano pts/2 :0.0 Sun Dec 25 21:05 - 21:30 (00:25)
root pts/1 :0.0 Sun Dec 25 21:05 - 21:05 (00:00)
juliano tty7 :0 Sun Dec 25 21:04 - down (00:27)
(unknown tty7 :0 Sun Dec 25 21:04 - 21:04 (00:00)
reboot system boot 3.2.0-4-amd64 Sun Dec 25 21:03 - 21:32 (00:28)
juliano pts/0 :0.0 Wed Nov 30 13:04 - 13:05 (00:00)
juliano pts/1 :0.0 Wed Nov 30 13:00 - 13:04 (00:04)
juliano pts/0 :0.0 Wed Nov 30 12:57 - 13:03 (00:06)
juliano tty7 :0 Wed Nov 30 12:57 - 13:05 (00:08)
(unknown tty7 :0 Wed Nov 30 12:55 - 12:57 (00:01)
reboot system boot 3.2.0-4-amd64 Wed Nov 30 12:55 - 13:05 (00:10)
juliano tty7 :0 Tue Nov 29 17:13 - 17:14 (00:01)
(unknown tty7 :0 Tue Nov 29 17:12 - 17:13 (00:00)
reboot system boot 3.2.0-4-amd64 Tue Nov 29 17:12 - 17:14 (00:01)
juliano pts/0 :0.0 Mon Nov 28 09:54 - down (00:04)
juliano tty7 :0 Mon Nov 28 09:54 - down (00:04)
(unknown tty7 :0 Mon Nov 28 09:53 - 09:54 (00:00)
reboot system boot 3.2.0-4-amd64 Mon Nov 28 09:53 - 09:58 (00:05)
juliano tty7 :0 Wed Nov 23 10:35 - 10:35 (00:00)
(unknown tty7 :0 Wed Nov 23 10:34 - 10:35 (00:00)
reboot system boot 3.2.0-4-amd64 Wed Nov 23 10:34 - 10:35 (00:00)
juliano pts/0 :0.0 Wed Nov 23 10:31 - down (00:02)
juliano tty7 :0 Wed Nov 23 10:31 - down (00:03)
(unknown tty7 :0 Wed Nov 23 10:30 - 10:31 (00:00)
reboot system boot 3.2.0-4-amd64 Wed Nov 23 10:29 - 10:34 (00:04)
juliano pts/0 :0.0 Fri Nov 4 08:30 - down (00:00)
juliano pts/0 :0.0 Fri Nov 4 08:29 - 08:30 (00:01)
juliano tty7 :0 Fri Nov 4 08:28 - down (00:02)
(unknown tty7 :0 Fri Nov 4 08:28 - 08:28 (00:00)
reboot system boot 3.2.0-4-amd64 Fri Nov 4 08:28 - 08:31 (00:03)
juliano pts/0 :0.0 Mon Sep 5 13:08 - 17:47 (04:38)
juliano tty7 :0 Mon Sep 5 12:59 - 17:47 (04:47)
(unknown tty7 :0 Mon Sep 5 12:59 - 12:59 (00:00)
reboot system boot 3.2.0-4-amd64 Mon Sep 5 12:59 - 17:47 (04:48)
juliano tty7 :0 Mon Sep 5 11:29 - 11:41 (00:11)
(unknown tty7 :0 Mon Sep 5 11:29 - 11:29 (00:00)
reboot system boot 3.2.0-4-amd64 Mon Sep 5 11:28 - 11:41 (00:12)
juliano pts/0 :0.0 Mon Sep 5 10:02 - down (01:19)
juliano pts/0 :0.0 Mon Sep 5 09:56 - 09:58 (00:02)
juliano tty7 :0 Mon Sep 5 09:54 - down (01:27)
(unknown tty7 :0 Mon Sep 5 09:53 - 09:54 (00:00)
reboot system boot 3.2.0-4-amd64 Mon Sep 5 09:53 - 11:21 (01:28)
juliano tty7 :0 Sun Sep 4 18:18 - 19:17 (00:59)
(unknown tty7 :0 Sun Sep 4 18:18 - 18:18 (00:00)
reboot system boot 3.2.0-4-amd64 Sun Sep 4 18:17 - 19:17 (00:59)
juliano pts/0 :0.0 Fri Sep 2 14:16 - down (02:34)
juliano tty7 :0 Fri Sep 2 14:10 - down (02:39)
(unknown tty7 :0 Fri Sep 2 14:10 - 14:10 (00:00)
reboot system boot 3.2.0-4-amd64 Fri Sep 2 14:10 - 16:50 (02:40)
juliano pts/0 :0.0 Fri Sep 2 08:35 - 08:35 (00:00)
juliano tty7 :0 Fri Sep 2 08:25 - 11:45 (03:19)
(unknown tty7 :0 Fri Sep 2 08:17 - 08:25 (00:08)
reboot system boot 3.2.0-4-amd64 Fri Sep 2 08:16 - 11:45 (03:28)
juliano pts/0 :0.0 Thu Sep 1 21:01 - 21:03 (00:02)
juliano pts/1 :0.0 Thu Sep 1 21:01 - 21:01 (00:00)
juliano pts/0 :0.0 Thu Sep 1 21:01 - 21:01 (00:00)
juliano pts/0 :0.0 Thu Sep 1 21:00 - 21:00 (00:00)
juliano tty7 :0 Thu Sep 1 20:59 - 21:10 (00:10)
(unknown tty7 :0 Thu Sep 1 20:59 - 20:59 (00:00)
reboot system boot 3.2.0-4-amd64 Thu Sep 1 20:58 - 21:10 (00:11)
juliano tty9 :0 Thu Sep 1 20:12 - 20:46 (00:33)
(unknown tty9 :0 Thu Sep 1 20:12 - 20:12 (00:00)
juliano tty8 :0 Thu Sep 1 20:10 - 20:12 (00:01)
(unknown tty8 :0 Thu Sep 1 20:09 - 20:10 (00:00)
juliano pts/0 :0.0 Thu Sep 1 20:00 - 20:02 (00:02)
juliano tty7 :0 Thu Sep 1 19:58 - 20:09 (00:11)
(unknown tty7 :0 Thu Sep 1 19:58 - 19:58 (00:00)
reboot system boot 3.2.0-4-amd64 Thu Sep 1 19:57 - 20:46 (00:48)
root tty1 Thu Sep 1 19:37 - down (00:20)
reboot system boot 3.2.0-4-amd64 Thu Sep 1 19:36 - 19:57 (00:20)
root pts/0 :0 Thu Sep 1 19:35 - down (00:00)
root tty1 Thu Sep 1 17:31 - down (02:04)
root tty1 Thu Sep 1 17:24 - 17:31 (00:06)
reboot system boot 3.2.0-4-amd64 Thu Sep 1 17:24 - 19:35 (02:11)
root tty1 Thu Sep 1 17:21 - down (00:00)
reboot system boot 3.2.0-4-amd64 Thu Sep 1 17:20 - 17:21 (00:00)
root pts/0 :0 Thu Sep 1 16:45 - down (00:00)
root tty1 Thu Sep 1 16:44 - down (00:00)
reboot system boot 3.2.0-4-amd64 Thu Sep 1 16:44 - 16:45 (00:01)
root tty1 Thu Sep 1 16:43 - down (00:00)
reboot system boot 3.2.0-4-amd64 Thu Sep 1 16:43 - 16:44 (00:00)
root tty1 Thu Sep 1 13:40 - down (03:02)
reboot system boot 3.2.0-4-amd64 Thu Sep 1 13:38 - 16:42 (03:04)
root tty1 Wed Aug 31 17:00 - down (00:00)
root tty1 Wed Aug 31 15:25 - 16:59 (01:34)
root tty1 Wed Aug 31 15:16 - 15:24 (00:08)
reboot system boot 3.2.0-4-amd64 Wed Aug 31 15:15 - 17:00 (01:45)
root tty1 Sat Aug 6 12:02 - down (00:00)
root tty1 Sat Aug 6 10:46 - 12:02 (01:15)
reboot system boot 3.2.0-4-amd64 Sat Aug 6 10:45 - 12:02 (01:16)
root tty1 Sat Aug 6 10:39 - crash (00:06)
reboot system boot 3.2.0-4-amd64 Sat Aug 6 10:39 - 12:02 (01:23)
root tty1 Wed Aug 3 19:49 - down (00:00)
reboot system boot 3.2.0-4-amd64 Wed Aug 3 19:49 - 19:49 (00:00)
root tty1 Mon Aug 1 21:53 - down (00:00)
root tty1 Mon Aug 1 19:59 - 21:52 (01:53)
reboot system boot 3.2.0-4-amd64 Mon Aug 1 19:59 - 21:53 (01:53)
root tty1 Sun Jul 31 21:01 - down (00:01)
reboot system boot 3.2.0-4-amd64 Sun Jul 31 21:01 - 21:03 (00:02)
root tty1 Sun Jul 31 20:58 - down (00:00)
reboot system boot 3.2.0-4-amd64 Sun Jul 31 20:58 - 20:59 (00:00)

wtmp begins Sun Jul 31 20:58:37 2016
juliano@debian:~$

toskoon
(usa CentOS)

Enviado em 12/01/2017 - 13:07h

Como o Amigo mencionou seu comando esta trazendo as informações porém na coluna dos IP(terceira) por algum motivo não lembro agora qual vc não esta capturando. vi que em alguns casos ele coseguiu capturar normal por exemplo infosoft.local que deve ser o dns de alguma máquina local de vocês.

Abaixo vou printar um comando last num servidor meu:
[root@prod-db-01 ~]# last -d -i
root pts/0 10.10.1.200 Thu Jan 12 12:41 still logged in
root pts/0 10.10.1.200 Tue Jan 10 11:28 - 14:29 (03:01)
root pts/0 10.10.1.200 Tue Jan 10 10:05 - 10:10 (00:05)
reboot system boot 0.0.0.0 Mon Jan 9 21:50 - 12:55 (2+15:05)
root pts/0 10.10.1.200 Mon Jan 9 14:30 - down (00:00)
reboot system boot 0.0.0.0 Thu Jan 5 07:59 - 14:31 (4+06:31)
root pts/0 10.10.1.200 Wed Jan 4 15:55 - down (00:00)
root pts/0 10.10.1.225 Wed Dec 28 15:03 - 15:14 (00:10)
root pts/0 10.10.1.8 Wed Dec 28 13:06 - 13:33 (00:26)
reboot system boot 0.0.0.0 Wed Dec 28 13:04 - 15:56 (7+02:51)
root pts/0 10.10.1.8 Wed Dec 28 12:47 - down (00:00)
root pts/0 10.10.1.200 Wed Dec 21 15:36 - 20:11 (04:35)
root pts/0 10.10.1.200 Thu Dec 15 09:57 - 09:57 (00:00)
root pts/1 10.10.1.200 Wed Dec 14 15:25 - 15:54 (00:29)
root pts/0 10.10.1.200 Wed Dec 14 15:22 - 15:54 (00:31)
root pts/3 10.10.1.200 Tue Dec 13 09:55 - 10:06 (00:11)

1ª(coluna) usuário, 2º "pseudo terminal", 3º IP, 4º data e hora segundo do tempo de duração da conexão.
para auditoria passada que é oque vc quer pelo que entendi, tenta olhar os logs do syslog. já que seu comando last não esta ajudando muito, você basicamente só ta identificando quem e quando logou.

Obs: tenta seguir a dica do fernando tbm, pois ela pode te ajudar numa auditoria futura. e se tiver alguma ferramenta de monitoramento no seu ambiente tipo um zabbix da vida. deixa um tempo ativado para monitorar quando alguém tiver logado, que ai vocês vão vê o alarme e se não tiver ninguém de vocês conectado algo esta errado rsrs.

Abs.

INFO SOFT
(usa Outra)

Enviado em 12/01/2017 - 13:52h

Pelo que eu entendi, será possivel ver os endereços IP dos usuários que acessarem o servidor remotamente, mas através do arquivo rsyslog.conf. Se este arquivo não estiver configurado, não será possível ver os endereços IP. É isso?

INFO SOFT
(usa Outra)

Enviado em 13/01/2017 - 11:28h

Eu testei novamente o comando "last" que o toskoon falou e consegui resposta. Esse teste que obteve sucesso foi em um servidor da empresa que trabalho. Vou estudar o rsyslog.conf, pois parece ser bem completo. Muito obrigado a todos...