Тема: Как да рабера, ако някой се е логнал през ssh? (Прочетена 2136 пъти)

plamen_t · « -: Dec 06, 2006, 13:04 »

Със Slackware11 съм и съм отворил ssh порта. Root паролата освен мен я знаят още няколко човека. Интересува ме има ли начин, ако някой се логне през ssh-то аз да мога веднага да рабера, че се е логнал. Имам предвид нещо като система за известяване.

n_antonov · « **Отговор #1 -:** Dec 06, 2006, 13:12 »

w
who

growchie · « **Отговор #2 -:** Dec 06, 2006, 13:29 »

Освен това може да видиш и last лога. Там ще видиш кой, кога, от къде и колко.
Дребен съвет. ЗАБРАНИ ROOT LOGINS през ssh. Направи на хората потребителски сметки и да си бачкат пред su или sudo най-добре.

VladSun · « **Отговор #3 -:** Dec 06, 2006, 14:04 »

За такива нужди съм правил и едно скриптче:

Примерен код

root@host:~# cat .bash_profile

ip=`echo $SSH_CLIENT | cut -d" " -f1`

if [ "$ip" != "192.168.1.1" ];
then
   for i in `w | grep root | awk '{print $2}'`; do
   echo "*** ROOT Login from $ip ***" > /dev/$i
   echo > /dev/$i
   done
fi

192.168.1.1 e IP-то от което аз влизам - за да не ме известява

'>
Това е само за конзола обаче

'>

plamen_t · « **Отговор #4 -:** Dec 06, 2006, 21:31 »

10x VladSun

Точно такова нещо исках и аз. А то може да се направи вместо echo "Root login" да използва kdialog --msgbox "Root login".

ZERG · « **Отговор #5 -:** Dec 08, 2006, 08:31 »

//Само уточнение !

Човека искаше начин да го известява автоматично не всеки път да пише who

'>.

gat3way · « **Отговор #6 -:** Dec 08, 2006, 10:59 »

Кой къде пише who?

Идеята на VladSun си е много добра според мен. Единственият проблем е че не може да се използва за потребители различни от root защото няма да имат право да пишат в root-ските /dev/ttyX, дори и да имат такъв .bash_profile в home директорията, той няма да сработи. Ако писането в /dev/ttyX се замени с /usr/bin/write, който принципно е suid-нат, тази грижа ще отпадне.

Друго нещо за което трябва да се внимава е че не е много трудно да се заобиколи. След като имаш root достъп, най-лесното нещо е да създадеш един потребител, да му набиеш директно в passwd UID=0 и да си се логваш с него, заобикаляйки .bash_profile за root. За да не изглежда толкова съмнително, можеш да си наблъскаш suid-нат bash в /etc/shells с не много съмнително име (да речем /usr/bin/esh) и да го сложиш като shell за потребителя в /etc/passwd, така ще избегнеш странно изглеждащ потребител с uid 0. И всеки случай щом си се доверил на други хора да имат административен достъп дотам се очаква че те няма да са толкова палави потребители, нали

'>

gat3way · « **Отговор #7 -:** Dec 08, 2006, 11:27 »

Хм, ся проверих, малко по-сложно ще стане, при мен абсолютно всички шел-ове си сдават suid привилегиите. Което обаче е тъпо измислено, просто ще exec-нем един от тях с root права:

Цитат

cat /bin/dsh.c
#include <unistd.h>
void main()
{
setuid(0);seteuid(0);execl("/bin/bash", "", 0);
}

cc -o /bin/dsh /bin/dsh.c
...
chmod u+s /bin/dsh
echo "/bin/dsh" >> /etc/shells

Воала...после дай за шел /bin/dsh на който и да е потребител без руут-ски права и си влиза като руут

'>

plamen_t · « **Отговор #8 -:** Dec 10, 2006, 18:32 »

Само още малко по темата.
Има ли начин след като съм разбрал, че някой се е логнал през ssh-то, в някакъв файл да се записават всички команди, които е изпълнил. Т.е. да може да се разбере точно какво е правил след като се е логнал.

n_antonov · « **Отговор #9 -:** Dec 10, 2006, 20:03 »

Има начин, но имай предвид, че това отнема много ресурси и не става с разни shell скриптчета. Можеш да го реализираш например с нещо като RSBAC или собственоръчно да си напишеш kernel модул, който да го прави.

George Andonov · « **Отговор #10 -:** Dec 11, 2006, 13:09 »

Цитат (plamen_t @ Дек. 10 2006,18:32)

... Има ли начин след като съм разбрал, че някой се е логнал през ssh-то, в някакъв файл да се записават всички команди, които е изпълнил. ....

Опитай с history.

_NetCutter_ · « **Отговор #11 -:** Dec 11, 2006, 15:51 »

А как мога да забраня достъпа до ssh?
Щото наскоро ми кракнаха паса и се чудя дали не е било през него . ..
Но и все пак ми е интересно, дали може без ънинсталването му.

SRG · « **Отговор #12 -:** Dec 11, 2006, 16:42 »

Направи така че при стартиране да не се стартира sshd,а ако ще го ползваш и искаш да го подсигуриш има доста теми тук за това как да го направиш.

George Andonov · « **Отговор #13 -:** Dec 11, 2006, 16:47 »

Цитат (_NetCutter_ @ Дек. 11 2006,15:51)

А как мога да забраня достъпа до ssh?
. ..
Но и все пак ми е интересно, дали може без ънинсталването му.

SSH сървърът не е инсталиран по подразбиране. За да го инсталираш трябва да добавиш пакет openssh-server.

1. Ако си добавил пакета, но не ти трябва такава функционалност:
- деинсталирай пакета.

2. Ако искаш временно да спреш услугата (до следващият рестарт на системата):
- /etc/init.d/ssh stop

3. Спиране на услугата:
- в System -> Administration -> Services махаш отметката на Remote shell server. Всъщност това те съветвам да направиш!!!

Автор Тема: Как да рабера, ако някой се е логнал през ssh? (Прочетена 2136 пъти)