Как регистрировать SSHD сбойные логины с именами пользователей в OpenBSD 5.3?

Поскольку DYNDNS стал платным сервисом, я нашел решение проблемы динамического IP-адреса:

Сторона маршрутизатора OPENWRT (динамический IP, эта линия находится в CRON):

echo close | ssh LOCATION@SERVER -p 22 > /dev/null 2>&1 

SERVER (с фиксированным IP):

 on OpenBSD 5.1 I had nothing to do* 

CLIENT (откуда я хочу подключиться к динамическому маршрутизатору IP / OpenWRT):

 vi .bashrc DYNNAMEHERE() { DYNNAMEHERE01=`ssh root@DOMAINHERE -p PORTHERE "grep 'user DYNNAMEHERE from' /var/log/authlog | tail -1" | sed 's/ from /\n/g' | tail -1 | grep -o "[0-9]*\.[0-9]*\.[0-9]*\.[0-9]*"` ssh root@"${DYNNAMEHERE01}" -p PORTHERE } 

и тогда мне просто нужно использовать эту команду:

 DYNNAMEHERE 

и я нахожусь в маршрутизаторе OpenWRT как root.

ВОПРОС: * но с OpenBSD 5.3 сбойные имена пользователей входа в систему не регистрируются. Зачем? Я попытался установить SSHD loglevel на DEBUG3 (тогда: «kill -HUP SSHDPID»), но неудачные имена пользователей входа в систему не были зарегистрированы.

UPDATE: «LOCATION» – это имя входа. (но я тоже пытался с "-l", это не сработало)

UPDATE: нет, я еще не изменил sshd_config:

 ListenAddress 0.0.0.0 PermitRootLogin without-password PubkeyAuthentication yes PasswordAuthentication no 

One Solution collect form web for “Как регистрировать SSHD сбойные логины с именами пользователей в OpenBSD 5.3?”

Настройка настраиваемого журнала для sshd

Я понимаю, что есть опция по умолчанию, уже установленная в OpenBSD для ведения журнала, поэтому это альтернатива, если есть что-то, что было сломано или неправильно настроено с этой настройкой!

Если у вас возникла проблема с регулярными средствами ведения журнала, включенными в OpenBSD 5.3, вы можете переопределить, куда отправляются журналы, используя следующую модификацию в файле sshd_config:

 SyslogFacility LOCAL7 

Затем настройте syslogd, чтобы получить эти сообщения и записать их в отдельный файл:

 local7.* /var/log/local7.log 

Обязательно перезапустите службы sshd и syslogd после внесения указанных изменений.

pam_exec

Если вы хотите что-то более настраиваемое, вы можете захотеть pam_exec на pam_exec . Более подробная информация находится на странице руководства pam_exec, а также в этом учебнике под названием « Входные уведомления», сценарии pam_exec .

Идея проста, создайте такой скрипт, как notify-logins:

 #!/bin/sh [ "$PAM_TYPE" = "open_session" ] || exit 0 { echo "User: $PAM_USER" echo "Ruser: $PAM_RUSER" echo "Rhost: $PAM_RHOST" echo "Service: $PAM_SERVICE" echo "TTY: $PAM_TTY" echo "Date: `date`" echo "Server: `uname -a`" } | mail -s "`hostname -s` $PAM_SERVICE login: $PAM_USER" root 

Этот сценарий может быть адаптирован для входа в файл вместо него. Затем вам нужно добавить этот скрипт к настройке pam:

 auth [default=ignore] pam_exec.so /usr/local/bin/notify-logins 

Убедитесь, что сценарий выше выполним (chmod + x notify-logins). Выяснить, где разместить строку pam, вероятно, самая сложная часть этого метода. Вот достойный учебник , который, надеюсь, поможет вам в правильном направлении.

fail2ban

Третий подход – использовать такой инструмент, как fail2ban который может сделать намного больше, чем неудачные попытки входа в журнал. Он может реагировать на них и по-разному. Здесь есть хороший учебник, озаглавленный: Как защитить SSH с fail2ban на Ubuntu 12.04 . Он ориентирован на Ubuntu, но может быть адаптирован для OpenBSD.

Рекомендации

  • Лучшие 20 лучших практик безопасности OpenSSH
  • SSH не завершается после выхода, когда есть программа X Forward
  • как выполнять команды на удаленном сервере как разные пользователи
  • Как автоматизировать подключение к нескольким сетевым устройствам, выполнить команду и сохранить вывод в файл?
  • Нет вывода из команды, выполненной поверх ssh на SUSE с помощью openBSD sshd
  • Ограничить пользователей SSH SFTP
  • ssh + nohup не работает
  • Как работает туннелирование SSH
  • gpg-agent вместо ssh-agent
  • Связанная с SSL «неопределенная ссылка» на libssh2 и libcurl libs при компиляции C на OpenSUSE
  • Fail2ban с firewalld
  • daemonize rtorrent
  • перейдите в текстовую консоль, используя ssh
  • Interesting Posts

    Лучшая файловая система для слияния с разными дисками формата / скорости?

    Как настроить QoS на IP-основу?

    Проблема с булевыми тестами && и || в bash

    Nautilus: Как сортируются файлы?

    Firefox теряет фокус при переключении раскладки клавиатуры

    Система Xmonad и X Window

    Синтаксическая ошибка: слово «неожиданно» (ожидается «)») при удаленном запуске, но без проблем выполняется локально

    Сортировка массива путей файлов по их базам

    Почему нет версии для Fedora, например, Ubuntu?

    Lynx считает, что все сертификаты не доверяют моему файлу конфигурации

    Raspberry pi 3 * reverse * удаленный рабочий стол

    Как указать размер блока для файловой системы vFAT?

    Включить разрывы строк при назначении многострочных выходов для var в bash

    Поддерживает ли ubuntu touch / tizen полномасштабные программы командной строки и параметры командной строки?

    Ошибка dvgrab: драйвер получил неполный кадр

    Linux и Unix - лучшая ОС в мире.