Acesso via SSH [RESOLVIDO]

1. Acesso via SSH [RESOLVIDO]

Juliano Guimarães Corrêa
INFO SOFT

(usa Outra)

Enviado em 11/01/2017 - 14:29h

Olá amigos... Minha pergunta é a seguinte:

Imaginem a situação onde um Analista de TI desconfia de que foram feitas alterações no servidor Linux de uma empresa e o mesmo suspeita que foi feito um acesso não autorizado via SSH.

No Linux, existe algum arquivo, registro ou comando onde possamos descobrir os endereços IP que fizeram acesso remoto via SSH ao servidor?


  


2. Re: Acesso via SSH

Meia Noite
meianoite

(usa Nenhuma)

Enviado em 11/01/2017 - 15:11h

INFO SOFT escreveu:

Olá amigos... Minha pergunta é a seguinte:

Imaginem a situação onde um Analista de TI desconfia de que foram feitas alterações no servidor Linux de uma empresa e o mesmo suspeita que foi feito um acesso não autorizado via SSH.

No Linux, existe algum arquivo, registro ou comando onde possamos descobrir os endereços IP que fizeram acesso remoto via SSH ao servidor?



Monitorar acesso ao SSH

Tem que criar regra no seu firewall (LOG) para todo os serviços que você deseja monitorar.


iptables -t nat -A PREROUNTIG -p tcp --dport 22 -i eth1 -j LOG --log-level crit --log-prefix "eth1 PREROUNTIG SSH"

Regra para libera a porta do servidor SSH

Obs: A ordem é sempre assim primeiro a regra de log depois regra para libera a porta desejada.

Onde:

eth1 = placa de rede ligada na internet

22 é porta do seu servidor SSH (padrão)


Configurar o arquivo rsyslog.conf

nano /etc/rsyslog.conf

firewall /var/log/diretorio_do_arquivo/firewall.log


Para ver quando ele logou verifica o log,

tail -f /var/log/diretorio_do_arquivo/firewall.log


Para derrubar a conexao:

ps aux | grep ssh

Pega o PID e mata o processo com um kill:

kill -9 PID_DO_USUARIO


Acesso não autorizado é falta de politica de segurança na empresa.

Lembrando que a politica de senha deve ser forte para evitar que programa descobra a senha do seu servidor SSH.
É recomentado altera a porta do seu servidor SSH para uma porta alta de forma que sejam mais difíceis de detectar.

Obs: Difíceis de detectar não quer dizer que não seja impossível.

Eu acho que são 65535 portas.

O log mostra o ip de acesso ao servidor SSH e outras informações.



3. Re: Acesso via SSH [RESOLVIDO]

Rafael da cruz
toskoon

(usa CentOS)

Enviado em 11/01/2017 - 15:38h

INFO SOFT escreveu:

Olá amigos... Minha pergunta é a seguinte:

Imaginem a situação onde um Analista de TI desconfia de que foram feitas alterações no servidor Linux de uma empresa e o mesmo suspeita que foi feito um acesso não autorizado via SSH.

No Linux, existe algum arquivo, registro ou comando onde possamos descobrir os endereços IP que fizeram acesso remoto via SSH ao servidor?


Boa tarde, Cara usa o comando "last" ele exibe uma lista de usuários que logaram e cotem os ips. você pode olhar tem o log chamado secure no /var/log. no ubuntu não lembro de cabeça qual o log que registra mas o comando é o mesmo "last"

Abs.


4. Acesso via SSH

Juliano Guimarães Corrêa
INFO SOFT

(usa Outra)

Enviado em 11/01/2017 - 17:04h

Eu executei o comando "last", mas não consegui identificar os endereçços IP. Segue abaixo a resposta do comando "last". Alguém pode explicar essas colunas? Será que é esse mesmo o comando para mostrar quem se conectou remotamente ao servidor via SSH?

juliano pts/1 :0.0 Wed Jan 11 16:54 - 16:54 (00:00)
juliano pts/0 :0.0 Wed Jan 11 16:54 still logged in
juliano tty7 :0 Wed Jan 11 16:54 still logged in
(unknown tty7 :0 Wed Jan 11 16:53 - 16:54 (00:00)
reboot system boot 3.2.0-4-amd64 Wed Jan 11 16:53 - 16:54 (00:01)
juliano pts/0 :0.0 Wed Jan 11 08:21 - down (00:12)
juliano tty7 :0 Wed Jan 11 08:20 - down (00:13)
(unknown tty7 :0 Wed Jan 11 08:19 - 08:20 (00:01)
reboot system boot 3.2.0-4-amd64 Wed Jan 11 08:19 - 08:33 (00:14)
root pts/1 infosoft.local Mon Jan 9 14:24 - 14:32 (00:07)
root pts/1 infosoft.local Mon Jan 9 14:05 - 14:05 (00:00)
root pts/1 infosoft.local Mon Jan 9 14:00 - 14:01 (00:00)
root pts/1 infosoft.local Mon Jan 9 13:47 - 13:57 (00:09)
juliano pts/0 :0.0 Mon Jan 9 13:44 - 14:34 (00:49)
juliano tty7 :0 Mon Jan 9 13:44 - 14:35 (00:50)
(unknown tty7 :0 Mon Jan 9 13:44 - 13:44 (00:00)
reboot system boot 3.2.0-4-amd64 Mon Jan 9 13:44 - 14:35 (00:51)
juliano pts/0 :0.0 Fri Jan 6 09:04 - 09:04 (00:00)
juliano tty7 :0 Fri Jan 6 09:04 - 09:05 (00:01)
(unknown tty7 :0 Fri Jan 6 09:03 - 09:04 (00:00)
reboot system boot 3.2.0-4-amd64 Fri Jan 6 09:03 - 09:05 (00:01)
(unknown tty7 :0 Fri Jan 6 09:00 - crash (00:02)
reboot system boot 3.2.0-4-amd64 Fri Jan 6 08:59 - 09:05 (00:05)
juliano pts/0 :0.0 Tue Jan 3 11:20 - down (02:47)
juliano tty7 :0 Tue Jan 3 08:03 - down (06:04)
(unknown tty7 :0 Tue Jan 3 08:02 - 08:03 (00:00)
reboot system boot 3.2.0-4-amd64 Tue Jan 3 08:02 - 14:08 (06:05)
juliano pts/0 :0.0 Mon Jan 2 14:18 - down (03:27)
juliano tty7 :0 Mon Jan 2 14:18 - down (03:28)
(unknown tty7 :0 Mon Jan 2 14:16 - 14:18 (00:01)
reboot system boot 3.2.0-4-amd64 Mon Jan 2 14:16 - 17:46 (03:29)
juliano pts/0 :0.0 Mon Jan 2 11:06 - down (00:36)
juliano pts/1 :0.0 Mon Jan 2 10:57 - 11:00 (00:03)
juliano pts/0 :0.0 Mon Jan 2 10:51 - 11:04 (00:12)
juliano tty7 :0 Mon Jan 2 10:51 - down (00:51)
(unknown tty7 :0 Mon Jan 2 10:50 - 10:51 (00:00)
reboot system boot 3.2.0-4-amd64 Mon Jan 2 10:50 - 11:43 (00:52)
juliano pts/0 :0.0 Thu Dec 29 09:56 - down (00:19)
juliano tty7 :0 Thu Dec 29 09:55 - down (00:19)
(unknown tty7 :0 Thu Dec 29 09:55 - 09:55 (00:00)
reboot system boot 3.2.0-4-amd64 Thu Dec 29 09:54 - 10:15 (00:20)
juliano pts/0 :0.0 Tue Dec 27 09:57 - down (00:02)
juliano tty7 :0 Tue Dec 27 09:57 - down (00:02)
(unknown tty7 :0 Tue Dec 27 09:56 - 09:57 (00:00)
reboot system boot 3.2.0-4-amd64 Tue Dec 27 09:56 - 10:00 (00:03)
juliano pts/0 :0.0 Tue Dec 27 08:58 - 08:59 (00:01)
juliano tty7 :0 Tue Dec 27 08:58 - 08:59 (00:01)
(unknown tty7 :0 Tue Dec 27 08:57 - 08:58 (00:00)
reboot system boot 3.2.0-4-amd64 Tue Dec 27 08:57 - 08:59 (00:02)
juliano pts/0 :0.0 Sun Dec 25 21:31 - down (00:00)
juliano pts/0 :0.0 Sun Dec 25 21:25 - 21:30 (00:05)
juliano pts/2 :0.0 Sun Dec 25 21:05 - 21:30 (00:25)
root pts/1 :0.0 Sun Dec 25 21:05 - 21:05 (00:00)
juliano tty7 :0 Sun Dec 25 21:04 - down (00:27)
(unknown tty7 :0 Sun Dec 25 21:04 - 21:04 (00:00)
reboot system boot 3.2.0-4-amd64 Sun Dec 25 21:03 - 21:32 (00:28)
juliano pts/0 :0.0 Wed Nov 30 13:04 - 13:05 (00:00)
juliano pts/1 :0.0 Wed Nov 30 13:00 - 13:04 (00:04)
juliano pts/0 :0.0 Wed Nov 30 12:57 - 13:03 (00:06)
juliano tty7 :0 Wed Nov 30 12:57 - 13:05 (00:08)
(unknown tty7 :0 Wed Nov 30 12:55 - 12:57 (00:01)
reboot system boot 3.2.0-4-amd64 Wed Nov 30 12:55 - 13:05 (00:10)
juliano tty7 :0 Tue Nov 29 17:13 - 17:14 (00:01)
(unknown tty7 :0 Tue Nov 29 17:12 - 17:13 (00:00)
reboot system boot 3.2.0-4-amd64 Tue Nov 29 17:12 - 17:14 (00:01)
juliano pts/0 :0.0 Mon Nov 28 09:54 - down (00:04)
juliano tty7 :0 Mon Nov 28 09:54 - down (00:04)
(unknown tty7 :0 Mon Nov 28 09:53 - 09:54 (00:00)
reboot system boot 3.2.0-4-amd64 Mon Nov 28 09:53 - 09:58 (00:05)
juliano tty7 :0 Wed Nov 23 10:35 - 10:35 (00:00)
(unknown tty7 :0 Wed Nov 23 10:34 - 10:35 (00:00)
reboot system boot 3.2.0-4-amd64 Wed Nov 23 10:34 - 10:35 (00:00)
juliano pts/0 :0.0 Wed Nov 23 10:31 - down (00:02)
juliano tty7 :0 Wed Nov 23 10:31 - down (00:03)
(unknown tty7 :0 Wed Nov 23 10:30 - 10:31 (00:00)
reboot system boot 3.2.0-4-amd64 Wed Nov 23 10:29 - 10:34 (00:04)
juliano pts/0 :0.0 Fri Nov 4 08:30 - down (00:00)
juliano pts/0 :0.0 Fri Nov 4 08:29 - 08:30 (00:01)
juliano tty7 :0 Fri Nov 4 08:28 - down (00:02)
(unknown tty7 :0 Fri Nov 4 08:28 - 08:28 (00:00)
reboot system boot 3.2.0-4-amd64 Fri Nov 4 08:28 - 08:31 (00:03)
juliano pts/0 :0.0 Mon Sep 5 13:08 - 17:47 (04:38)
juliano tty7 :0 Mon Sep 5 12:59 - 17:47 (04:47)
(unknown tty7 :0 Mon Sep 5 12:59 - 12:59 (00:00)
reboot system boot 3.2.0-4-amd64 Mon Sep 5 12:59 - 17:47 (04:48)
juliano tty7 :0 Mon Sep 5 11:29 - 11:41 (00:11)
(unknown tty7 :0 Mon Sep 5 11:29 - 11:29 (00:00)
reboot system boot 3.2.0-4-amd64 Mon Sep 5 11:28 - 11:41 (00:12)
juliano pts/0 :0.0 Mon Sep 5 10:02 - down (01:19)
juliano pts/0 :0.0 Mon Sep 5 09:56 - 09:58 (00:02)
juliano tty7 :0 Mon Sep 5 09:54 - down (01:27)
(unknown tty7 :0 Mon Sep 5 09:53 - 09:54 (00:00)
reboot system boot 3.2.0-4-amd64 Mon Sep 5 09:53 - 11:21 (01:28)
juliano tty7 :0 Sun Sep 4 18:18 - 19:17 (00:59)
(unknown tty7 :0 Sun Sep 4 18:18 - 18:18 (00:00)
reboot system boot 3.2.0-4-amd64 Sun Sep 4 18:17 - 19:17 (00:59)
juliano pts/0 :0.0 Fri Sep 2 14:16 - down (02:34)
juliano tty7 :0 Fri Sep 2 14:10 - down (02:39)
(unknown tty7 :0 Fri Sep 2 14:10 - 14:10 (00:00)
reboot system boot 3.2.0-4-amd64 Fri Sep 2 14:10 - 16:50 (02:40)
juliano pts/0 :0.0 Fri Sep 2 08:35 - 08:35 (00:00)
juliano tty7 :0 Fri Sep 2 08:25 - 11:45 (03:19)
(unknown tty7 :0 Fri Sep 2 08:17 - 08:25 (00:08)
reboot system boot 3.2.0-4-amd64 Fri Sep 2 08:16 - 11:45 (03:28)
juliano pts/0 :0.0 Thu Sep 1 21:01 - 21:03 (00:02)
juliano pts/1 :0.0 Thu Sep 1 21:01 - 21:01 (00:00)
juliano pts/0 :0.0 Thu Sep 1 21:01 - 21:01 (00:00)
juliano pts/0 :0.0 Thu Sep 1 21:00 - 21:00 (00:00)
juliano tty7 :0 Thu Sep 1 20:59 - 21:10 (00:10)
(unknown tty7 :0 Thu Sep 1 20:59 - 20:59 (00:00)
reboot system boot 3.2.0-4-amd64 Thu Sep 1 20:58 - 21:10 (00:11)
juliano tty9 :0 Thu Sep 1 20:12 - 20:46 (00:33)
(unknown tty9 :0 Thu Sep 1 20:12 - 20:12 (00:00)
juliano tty8 :0 Thu Sep 1 20:10 - 20:12 (00:01)
(unknown tty8 :0 Thu Sep 1 20:09 - 20:10 (00:00)
juliano pts/0 :0.0 Thu Sep 1 20:00 - 20:02 (00:02)
juliano tty7 :0 Thu Sep 1 19:58 - 20:09 (00:11)
(unknown tty7 :0 Thu Sep 1 19:58 - 19:58 (00:00)
reboot system boot 3.2.0-4-amd64 Thu Sep 1 19:57 - 20:46 (00:48)
root tty1 Thu Sep 1 19:37 - down (00:20)
reboot system boot 3.2.0-4-amd64 Thu Sep 1 19:36 - 19:57 (00:20)
root pts/0 :0 Thu Sep 1 19:35 - down (00:00)
root tty1 Thu Sep 1 17:31 - down (02:04)
root tty1 Thu Sep 1 17:24 - 17:31 (00:06)
reboot system boot 3.2.0-4-amd64 Thu Sep 1 17:24 - 19:35 (02:11)
root tty1 Thu Sep 1 17:21 - down (00:00)
reboot system boot 3.2.0-4-amd64 Thu Sep 1 17:20 - 17:21 (00:00)
root pts/0 :0 Thu Sep 1 16:45 - down (00:00)
root tty1 Thu Sep 1 16:44 - down (00:00)
reboot system boot 3.2.0-4-amd64 Thu Sep 1 16:44 - 16:45 (00:01)
root tty1 Thu Sep 1 16:43 - down (00:00)
reboot system boot 3.2.0-4-amd64 Thu Sep 1 16:43 - 16:44 (00:00)
root tty1 Thu Sep 1 13:40 - down (03:02)
reboot system boot 3.2.0-4-amd64 Thu Sep 1 13:38 - 16:42 (03:04)
root tty1 Wed Aug 31 17:00 - down (00:00)
root tty1 Wed Aug 31 15:25 - 16:59 (01:34)
root tty1 Wed Aug 31 15:16 - 15:24 (00:08)
reboot system boot 3.2.0-4-amd64 Wed Aug 31 15:15 - 17:00 (01:45)
root tty1 Sat Aug 6 12:02 - down (00:00)
root tty1 Sat Aug 6 10:46 - 12:02 (01:15)
reboot system boot 3.2.0-4-amd64 Sat Aug 6 10:45 - 12:02 (01:16)
root tty1 Sat Aug 6 10:39 - crash (00:06)
reboot system boot 3.2.0-4-amd64 Sat Aug 6 10:39 - 12:02 (01:23)
root tty1 Wed Aug 3 19:49 - down (00:00)
reboot system boot 3.2.0-4-amd64 Wed Aug 3 19:49 - 19:49 (00:00)
root tty1 Mon Aug 1 21:53 - down (00:00)
root tty1 Mon Aug 1 19:59 - 21:52 (01:53)
reboot system boot 3.2.0-4-amd64 Mon Aug 1 19:59 - 21:53 (01:53)
root tty1 Sun Jul 31 21:01 - down (00:01)
reboot system boot 3.2.0-4-amd64 Sun Jul 31 21:01 - 21:03 (00:02)
root tty1 Sun Jul 31 20:58 - down (00:00)
reboot system boot 3.2.0-4-amd64 Sun Jul 31 20:58 - 20:59 (00:00)

wtmp begins Sun Jul 31 20:58:37 2016
juliano@debian:~$



5. Re: Acesso via SSH [RESOLVIDO]

Meia Noite
meianoite

(usa Nenhuma)

Enviado em 11/01/2017 - 19:52h

INFO SOFT escreveu:

Eu executei o comando "last", mas não consegui identificar os endereçços IP. Segue abaixo a resposta do comando "last". Alguém pode explicar essas colunas? Será que é esse mesmo o comando para mostrar quem se conectou remotamente ao servidor via SSH?




last

O comando last não esta mostrando nada de acesso via SSH, olhe o log desse comando, o arquivo deve esta compactado.


Pela forma como eu passei você vai monitorar corretamente o acesso via ssh identificado os endereçços IP.




As colunas

usuario ou comando | data dia da semana formato (mes - dia - hora) | comando | tempo (duração)


Ex:


juliano tty7 :0 Wed Jan 11 08:20 - down (00:13)
(unknown tty7 :0 Wed Jan 11 08:19 - 08:20 (00:01)
reboot system boot 3.2.0-4-amd64 Wed Jan 11 08:19 - 08:33 (00:14) <= O usuário juliano reinicia o computador em 11/01/2017 as 08:19 pelo comando reboot tempo ligado 14s




juliano pts/0 :0.0 Wed Jan 11 08:21 - down (00:12) <= O usuário juliano desligou o computador em 11/01/2017 as 08:21 hs tempo ligado 12s


Acho que é isso faz tempo que não uso esse comando.



6. Re: Acesso via SSH [RESOLVIDO]

Rafael da cruz
toskoon

(usa CentOS)

Enviado em 12/01/2017 - 13:07h

INFO SOFT escreveu:

Eu executei o comando "last", mas não consegui identificar os endereçços IP. Segue abaixo a resposta do comando "last". Alguém pode explicar essas colunas? Será que é esse mesmo o comando para mostrar quem se conectou remotamente ao servidor via SSH?

juliano pts/1 :0.0 Wed Jan 11 16:54 - 16:54 (00:00)
juliano pts/0 :0.0 Wed Jan 11 16:54 still logged in
juliano tty7 :0 Wed Jan 11 16:54 still logged in
(unknown tty7 :0 Wed Jan 11 16:53 - 16:54 (00:00)
reboot system boot 3.2.0-4-amd64 Wed Jan 11 16:53 - 16:54 (00:01)
juliano pts/0 :0.0 Wed Jan 11 08:21 - down (00:12)
juliano tty7 :0 Wed Jan 11 08:20 - down (00:13)
(unknown tty7 :0 Wed Jan 11 08:19 - 08:20 (00:01)
reboot system boot 3.2.0-4-amd64 Wed Jan 11 08:19 - 08:33 (00:14)
root pts/1 infosoft.local Mon Jan 9 14:24 - 14:32 (00:07)
root pts/1 infosoft.local Mon Jan 9 14:05 - 14:05 (00:00)
root pts/1 infosoft.local Mon Jan 9 14:00 - 14:01 (00:00)
root pts/1 infosoft.local Mon Jan 9 13:47 - 13:57 (00:09)
juliano pts/0 :0.0 Mon Jan 9 13:44 - 14:34 (00:49)
juliano tty7 :0 Mon Jan 9 13:44 - 14:35 (00:50)
(unknown tty7 :0 Mon Jan 9 13:44 - 13:44 (00:00)
reboot system boot 3.2.0-4-amd64 Mon Jan 9 13:44 - 14:35 (00:51)
juliano pts/0 :0.0 Fri Jan 6 09:04 - 09:04 (00:00)
juliano tty7 :0 Fri Jan 6 09:04 - 09:05 (00:01)
(unknown tty7 :0 Fri Jan 6 09:03 - 09:04 (00:00)
reboot system boot 3.2.0-4-amd64 Fri Jan 6 09:03 - 09:05 (00:01)
(unknown tty7 :0 Fri Jan 6 09:00 - crash (00:02)
reboot system boot 3.2.0-4-amd64 Fri Jan 6 08:59 - 09:05 (00:05)
juliano pts/0 :0.0 Tue Jan 3 11:20 - down (02:47)
juliano tty7 :0 Tue Jan 3 08:03 - down (06:04)
(unknown tty7 :0 Tue Jan 3 08:02 - 08:03 (00:00)
reboot system boot 3.2.0-4-amd64 Tue Jan 3 08:02 - 14:08 (06:05)
juliano pts/0 :0.0 Mon Jan 2 14:18 - down (03:27)
juliano tty7 :0 Mon Jan 2 14:18 - down (03:28)
(unknown tty7 :0 Mon Jan 2 14:16 - 14:18 (00:01)
reboot system boot 3.2.0-4-amd64 Mon Jan 2 14:16 - 17:46 (03:29)
juliano pts/0 :0.0 Mon Jan 2 11:06 - down (00:36)
juliano pts/1 :0.0 Mon Jan 2 10:57 - 11:00 (00:03)
juliano pts/0 :0.0 Mon Jan 2 10:51 - 11:04 (00:12)
juliano tty7 :0 Mon Jan 2 10:51 - down (00:51)
(unknown tty7 :0 Mon Jan 2 10:50 - 10:51 (00:00)
reboot system boot 3.2.0-4-amd64 Mon Jan 2 10:50 - 11:43 (00:52)
juliano pts/0 :0.0 Thu Dec 29 09:56 - down (00:19)
juliano tty7 :0 Thu Dec 29 09:55 - down (00:19)
(unknown tty7 :0 Thu Dec 29 09:55 - 09:55 (00:00)
reboot system boot 3.2.0-4-amd64 Thu Dec 29 09:54 - 10:15 (00:20)
juliano pts/0 :0.0 Tue Dec 27 09:57 - down (00:02)
juliano tty7 :0 Tue Dec 27 09:57 - down (00:02)
(unknown tty7 :0 Tue Dec 27 09:56 - 09:57 (00:00)
reboot system boot 3.2.0-4-amd64 Tue Dec 27 09:56 - 10:00 (00:03)
juliano pts/0 :0.0 Tue Dec 27 08:58 - 08:59 (00:01)
juliano tty7 :0 Tue Dec 27 08:58 - 08:59 (00:01)
(unknown tty7 :0 Tue Dec 27 08:57 - 08:58 (00:00)
reboot system boot 3.2.0-4-amd64 Tue Dec 27 08:57 - 08:59 (00:02)
juliano pts/0 :0.0 Sun Dec 25 21:31 - down (00:00)
juliano pts/0 :0.0 Sun Dec 25 21:25 - 21:30 (00:05)
juliano pts/2 :0.0 Sun Dec 25 21:05 - 21:30 (00:25)
root pts/1 :0.0 Sun Dec 25 21:05 - 21:05 (00:00)
juliano tty7 :0 Sun Dec 25 21:04 - down (00:27)
(unknown tty7 :0 Sun Dec 25 21:04 - 21:04 (00:00)
reboot system boot 3.2.0-4-amd64 Sun Dec 25 21:03 - 21:32 (00:28)
juliano pts/0 :0.0 Wed Nov 30 13:04 - 13:05 (00:00)
juliano pts/1 :0.0 Wed Nov 30 13:00 - 13:04 (00:04)
juliano pts/0 :0.0 Wed Nov 30 12:57 - 13:03 (00:06)
juliano tty7 :0 Wed Nov 30 12:57 - 13:05 (00:08)
(unknown tty7 :0 Wed Nov 30 12:55 - 12:57 (00:01)
reboot system boot 3.2.0-4-amd64 Wed Nov 30 12:55 - 13:05 (00:10)
juliano tty7 :0 Tue Nov 29 17:13 - 17:14 (00:01)
(unknown tty7 :0 Tue Nov 29 17:12 - 17:13 (00:00)
reboot system boot 3.2.0-4-amd64 Tue Nov 29 17:12 - 17:14 (00:01)
juliano pts/0 :0.0 Mon Nov 28 09:54 - down (00:04)
juliano tty7 :0 Mon Nov 28 09:54 - down (00:04)
(unknown tty7 :0 Mon Nov 28 09:53 - 09:54 (00:00)
reboot system boot 3.2.0-4-amd64 Mon Nov 28 09:53 - 09:58 (00:05)
juliano tty7 :0 Wed Nov 23 10:35 - 10:35 (00:00)
(unknown tty7 :0 Wed Nov 23 10:34 - 10:35 (00:00)
reboot system boot 3.2.0-4-amd64 Wed Nov 23 10:34 - 10:35 (00:00)
juliano pts/0 :0.0 Wed Nov 23 10:31 - down (00:02)
juliano tty7 :0 Wed Nov 23 10:31 - down (00:03)
(unknown tty7 :0 Wed Nov 23 10:30 - 10:31 (00:00)
reboot system boot 3.2.0-4-amd64 Wed Nov 23 10:29 - 10:34 (00:04)
juliano pts/0 :0.0 Fri Nov 4 08:30 - down (00:00)
juliano pts/0 :0.0 Fri Nov 4 08:29 - 08:30 (00:01)
juliano tty7 :0 Fri Nov 4 08:28 - down (00:02)
(unknown tty7 :0 Fri Nov 4 08:28 - 08:28 (00:00)
reboot system boot 3.2.0-4-amd64 Fri Nov 4 08:28 - 08:31 (00:03)
juliano pts/0 :0.0 Mon Sep 5 13:08 - 17:47 (04:38)
juliano tty7 :0 Mon Sep 5 12:59 - 17:47 (04:47)
(unknown tty7 :0 Mon Sep 5 12:59 - 12:59 (00:00)
reboot system boot 3.2.0-4-amd64 Mon Sep 5 12:59 - 17:47 (04:48)
juliano tty7 :0 Mon Sep 5 11:29 - 11:41 (00:11)
(unknown tty7 :0 Mon Sep 5 11:29 - 11:29 (00:00)
reboot system boot 3.2.0-4-amd64 Mon Sep 5 11:28 - 11:41 (00:12)
juliano pts/0 :0.0 Mon Sep 5 10:02 - down (01:19)
juliano pts/0 :0.0 Mon Sep 5 09:56 - 09:58 (00:02)
juliano tty7 :0 Mon Sep 5 09:54 - down (01:27)
(unknown tty7 :0 Mon Sep 5 09:53 - 09:54 (00:00)
reboot system boot 3.2.0-4-amd64 Mon Sep 5 09:53 - 11:21 (01:28)
juliano tty7 :0 Sun Sep 4 18:18 - 19:17 (00:59)
(unknown tty7 :0 Sun Sep 4 18:18 - 18:18 (00:00)
reboot system boot 3.2.0-4-amd64 Sun Sep 4 18:17 - 19:17 (00:59)
juliano pts/0 :0.0 Fri Sep 2 14:16 - down (02:34)
juliano tty7 :0 Fri Sep 2 14:10 - down (02:39)
(unknown tty7 :0 Fri Sep 2 14:10 - 14:10 (00:00)
reboot system boot 3.2.0-4-amd64 Fri Sep 2 14:10 - 16:50 (02:40)
juliano pts/0 :0.0 Fri Sep 2 08:35 - 08:35 (00:00)
juliano tty7 :0 Fri Sep 2 08:25 - 11:45 (03:19)
(unknown tty7 :0 Fri Sep 2 08:17 - 08:25 (00:08)
reboot system boot 3.2.0-4-amd64 Fri Sep 2 08:16 - 11:45 (03:28)
juliano pts/0 :0.0 Thu Sep 1 21:01 - 21:03 (00:02)
juliano pts/1 :0.0 Thu Sep 1 21:01 - 21:01 (00:00)
juliano pts/0 :0.0 Thu Sep 1 21:01 - 21:01 (00:00)
juliano pts/0 :0.0 Thu Sep 1 21:00 - 21:00 (00:00)
juliano tty7 :0 Thu Sep 1 20:59 - 21:10 (00:10)
(unknown tty7 :0 Thu Sep 1 20:59 - 20:59 (00:00)
reboot system boot 3.2.0-4-amd64 Thu Sep 1 20:58 - 21:10 (00:11)
juliano tty9 :0 Thu Sep 1 20:12 - 20:46 (00:33)
(unknown tty9 :0 Thu Sep 1 20:12 - 20:12 (00:00)
juliano tty8 :0 Thu Sep 1 20:10 - 20:12 (00:01)
(unknown tty8 :0 Thu Sep 1 20:09 - 20:10 (00:00)
juliano pts/0 :0.0 Thu Sep 1 20:00 - 20:02 (00:02)
juliano tty7 :0 Thu Sep 1 19:58 - 20:09 (00:11)
(unknown tty7 :0 Thu Sep 1 19:58 - 19:58 (00:00)
reboot system boot 3.2.0-4-amd64 Thu Sep 1 19:57 - 20:46 (00:48)
root tty1 Thu Sep 1 19:37 - down (00:20)
reboot system boot 3.2.0-4-amd64 Thu Sep 1 19:36 - 19:57 (00:20)
root pts/0 :0 Thu Sep 1 19:35 - down (00:00)
root tty1 Thu Sep 1 17:31 - down (02:04)
root tty1 Thu Sep 1 17:24 - 17:31 (00:06)
reboot system boot 3.2.0-4-amd64 Thu Sep 1 17:24 - 19:35 (02:11)
root tty1 Thu Sep 1 17:21 - down (00:00)
reboot system boot 3.2.0-4-amd64 Thu Sep 1 17:20 - 17:21 (00:00)
root pts/0 :0 Thu Sep 1 16:45 - down (00:00)
root tty1 Thu Sep 1 16:44 - down (00:00)
reboot system boot 3.2.0-4-amd64 Thu Sep 1 16:44 - 16:45 (00:01)
root tty1 Thu Sep 1 16:43 - down (00:00)
reboot system boot 3.2.0-4-amd64 Thu Sep 1 16:43 - 16:44 (00:00)
root tty1 Thu Sep 1 13:40 - down (03:02)
reboot system boot 3.2.0-4-amd64 Thu Sep 1 13:38 - 16:42 (03:04)
root tty1 Wed Aug 31 17:00 - down (00:00)
root tty1 Wed Aug 31 15:25 - 16:59 (01:34)
root tty1 Wed Aug 31 15:16 - 15:24 (00:08)
reboot system boot 3.2.0-4-amd64 Wed Aug 31 15:15 - 17:00 (01:45)
root tty1 Sat Aug 6 12:02 - down (00:00)
root tty1 Sat Aug 6 10:46 - 12:02 (01:15)
reboot system boot 3.2.0-4-amd64 Sat Aug 6 10:45 - 12:02 (01:16)
root tty1 Sat Aug 6 10:39 - crash (00:06)
reboot system boot 3.2.0-4-amd64 Sat Aug 6 10:39 - 12:02 (01:23)
root tty1 Wed Aug 3 19:49 - down (00:00)
reboot system boot 3.2.0-4-amd64 Wed Aug 3 19:49 - 19:49 (00:00)
root tty1 Mon Aug 1 21:53 - down (00:00)
root tty1 Mon Aug 1 19:59 - 21:52 (01:53)
reboot system boot 3.2.0-4-amd64 Mon Aug 1 19:59 - 21:53 (01:53)
root tty1 Sun Jul 31 21:01 - down (00:01)
reboot system boot 3.2.0-4-amd64 Sun Jul 31 21:01 - 21:03 (00:02)
root tty1 Sun Jul 31 20:58 - down (00:00)
reboot system boot 3.2.0-4-amd64 Sun Jul 31 20:58 - 20:59 (00:00)

wtmp begins Sun Jul 31 20:58:37 2016
juliano@debian:~$


Como o Amigo mencionou seu comando esta trazendo as informações porém na coluna dos IP(terceira) por algum motivo não lembro agora qual vc não esta capturando. vi que em alguns casos ele coseguiu capturar normal por exemplo infosoft.local que deve ser o dns de alguma máquina local de vocês.

Abaixo vou printar um comando last num servidor meu:
[root@prod-db-01 ~]# last -d -i
root pts/0 10.10.1.200 Thu Jan 12 12:41 still logged in
root pts/0 10.10.1.200 Tue Jan 10 11:28 - 14:29 (03:01)
root pts/0 10.10.1.200 Tue Jan 10 10:05 - 10:10 (00:05)
reboot system boot 0.0.0.0 Mon Jan 9 21:50 - 12:55 (2+15:05)
root pts/0 10.10.1.200 Mon Jan 9 14:30 - down (00:00)
reboot system boot 0.0.0.0 Thu Jan 5 07:59 - 14:31 (4+06:31)
root pts/0 10.10.1.200 Wed Jan 4 15:55 - down (00:00)
root pts/0 10.10.1.225 Wed Dec 28 15:03 - 15:14 (00:10)
root pts/0 10.10.1.8 Wed Dec 28 13:06 - 13:33 (00:26)
reboot system boot 0.0.0.0 Wed Dec 28 13:04 - 15:56 (7+02:51)
root pts/0 10.10.1.8 Wed Dec 28 12:47 - down (00:00)
root pts/0 10.10.1.200 Wed Dec 21 15:36 - 20:11 (04:35)
root pts/0 10.10.1.200 Thu Dec 15 09:57 - 09:57 (00:00)
root pts/1 10.10.1.200 Wed Dec 14 15:25 - 15:54 (00:29)
root pts/0 10.10.1.200 Wed Dec 14 15:22 - 15:54 (00:31)
root pts/3 10.10.1.200 Tue Dec 13 09:55 - 10:06 (00:11)

1ª(coluna) usuário, 2º "pseudo terminal", 3º IP, 4º data e hora segundo do tempo de duração da conexão.
para auditoria passada que é oque vc quer pelo que entendi, tenta olhar os logs do syslog. já que seu comando last não esta ajudando muito, você basicamente só ta identificando quem e quando logou.

Obs: tenta seguir a dica do fernando tbm, pois ela pode te ajudar numa auditoria futura. e se tiver alguma ferramenta de monitoramento no seu ambiente tipo um zabbix da vida. deixa um tempo ativado para monitorar quando alguém tiver logado, que ai vocês vão vê o alarme e se não tiver ninguém de vocês conectado algo esta errado rsrs.

Abs.







7. Acesso via SSH

Juliano Guimarães Corrêa
INFO SOFT

(usa Outra)

Enviado em 12/01/2017 - 13:52h

Pelo que eu entendi, será possivel ver os endereços IP dos usuários que acessarem o servidor remotamente, mas através do arquivo rsyslog.conf. Se este arquivo não estiver configurado, não será possível ver os endereços IP. É isso?


8. Re: Acesso via SSH

Meia Noite
meianoite

(usa Nenhuma)

Enviado em 12/01/2017 - 23:25h

INFO SOFT escreveu:

Pelo que eu entendi, será possivel ver os endereços IP dos usuários que acessarem o servidor remotamente, mas através do arquivo rsyslog.conf. Se este arquivo não estiver configurado, não será possível ver os endereços IP. É isso?



A necessidade de registro das atividades dos usuários e serviços dos sistemas é, notoriamente, muito importante para administradores de sistemas. A norma NBR ISO/IEC 27002 (http://www.diegomacedo.com.br/conheca-a-nbr-isoiec-27002/?print=pdf) recomenda no item 10.10.1 as seguintes características de um sistema de logs:

Identificação dos usuário
Datas e horários de entrada e saída de terminais
Hostname ou endereço IP, para serviços acessados via rede
Registro das tentativas de acesso e rejeitados


Sim será possível ver os endereços IP dos usuários que acessarem o servidor remotamente.

Não é através do arquivo rsyslog.conf é através do arquivo que você configura nele. Esse arquivo cria um log só para o seu script de firewall facilita muito em vez de jogar tudo no arquivo /var/log/messages. Seria uma forma de filtragem.

nano /etc/rsyslog.conf

Ex: As informações de acesso dos usuários no sistema vai para o arquivo /var/log/auth.log
auth,authpriv.* /var/log/auth.log


Log para firewall poderia ser assim

firewall.sh /var/log/firewall.log




Se o arquivo (rsyslog.conf ) não estiver configurado você pode ver a saída do log do seu firewall nos arquivos /var/log/messages ou no /var/log/dmesg, não me lembro agora qual arquivo vai a saída do log mais acho que é no arquivo /var/log/messages mesmo.


Com o usuário root:

tail -f /var/log/messages





Organização do rsyslog

Cada linha do arquivo /etc/rsyslog.conf é organizada contendo o seguinte conteúdo:
# facilidade.nível destino

Facilidade – É usada para especificar que tipo de programa está enviando a mensagem
Nível – Especifica o nível de gravidade da mensagem
Destino – Especifica para onde deve ser mandada a mensagem de log

Facilidades do syslog

auth – mensagem de segurança/autorização
authpriv – mensagem de segurança/autorização (privadas)
cron – serviços de agendamentos (cron at)
daemon – outros serviços do sistema que não possuem facilidades específicas
ftp – serviço de ftp do sistema
kern – mensagens do kernel
lpr – subsistema de impressão
local {0-7} – reservados para uso local
mail – subsistema de e-mail
news – subsistema de notícias da usanet
security – sinônimo para a facilidade auth
rsyslog – mensagens genéricas de nível do usuário
user – mensagens genéricas de nível do usuário
uucp – subsistema de uucp
* – confere com todas as facilidades

Níveis prioridades

emerg – o sistema está inutilizável
alert – uma ação deve ser tomada imediatamente para resolver o problema
crit – condições críticas
err – condições de erro
warning – condições de alerta
notice – condição normal, mas significantes
info – mensagens informativas
debug – mensagens de depuração
* – confere com todos os níveis
none – nenhuma prioridade
error – sinônimo para o nível err
panic – sinônimo para o nível emerg
warn – sinônimo para o nível warning


Arquivos importantes

logs de controle do kernel: /var/log/messages.log
logs de depuração de daemons: /var/log/daemon.log
logs utilizados pelo comando last: /var/log/wtmp
logs utilizados pelo comando last: /var/log/btmp
logs utilizado pelo comando lastlog: /var/log/lastlog
logs utilizados pelo comando w e who: /var/run/utmp


Para instalar no sistema:

apt-get update

apt-get install rsyslog






9. Acesso via SSH

Juliano Guimarães Corrêa
INFO SOFT

(usa Outra)

Enviado em 13/01/2017 - 11:28h

Eu testei novamente o comando "last" que o toskoon falou e consegui resposta. Esse teste que obteve sucesso foi em um servidor da empresa que trabalho. Vou estudar o rsyslog.conf, pois parece ser bem completo. Muito obrigado a todos...






Patrocínio

Site hospedado pelo provedor HostGator.
Linux banner
Linux banner
{BANNER_MODEL3}

Artigos

Dicas

Viva o Android

Tópicos

Top 10 do mês

Scripts