Как регистрировать SSHD сбойные логины с именами пользователей в OpenBSD 5.3?

Поскольку DYNDNS стал платным сервисом, я нашел решение проблемы динамического IP-адреса:

Сторона маршрутизатора OPENWRT (динамический IP, эта линия находится в CRON):

echo close | ssh LOCATION@SERVER -p 22 > /dev/null 2>&1 

SERVER (с фиксированным IP):

 on OpenBSD 5.1 I had nothing to do* 

CLIENT (откуда я хочу подключиться к динамическому маршрутизатору IP / OpenWRT):

 vi .bashrc DYNNAMEHERE() { DYNNAMEHERE01=`ssh root@DOMAINHERE -p PORTHERE "grep 'user DYNNAMEHERE from' /var/log/authlog | tail -1" | sed 's/ from /\n/g' | tail -1 | grep -o "[0-9]*\.[0-9]*\.[0-9]*\.[0-9]*"` ssh root@"${DYNNAMEHERE01}" -p PORTHERE } 

и тогда мне просто нужно использовать эту команду:

 DYNNAMEHERE 

и я нахожусь в маршрутизаторе OpenWRT как root.

ВОПРОС: * но с OpenBSD 5.3 сбойные имена пользователей входа в систему не регистрируются. Зачем? Я попытался установить SSHD loglevel на DEBUG3 (тогда: «kill -HUP SSHDPID»), но неудачные имена пользователей входа в систему не были зарегистрированы.

UPDATE: «LOCATION» – это имя входа. (но я тоже пытался с "-l", это не сработало)

UPDATE: нет, я еще не изменил sshd_config:

 ListenAddress 0.0.0.0 PermitRootLogin without-password PubkeyAuthentication yes PasswordAuthentication no 

  • Конфигурация Wilcard ssh больше не соответствует
  • SSH через cert-authority
  • Служить интернету на удаленном компьютере через сеанс SSH?
  • Вход ssh из текстового файла
  • Почему я не могу запускать приложения Gnome через удаленный сеанс SSH?
  • Пусть передача выполняется на сервере, независимо от сеанса SSH
  • При пересылке SSH X11 (`ssh -X`) получите` Can not open display`, пытающийся запустить X-приложения
  • Не работает аутентификация открытого ключа ssh
  • One Solution collect form web for “Как регистрировать SSHD сбойные логины с именами пользователей в OpenBSD 5.3?”

    Настройка настраиваемого журнала для sshd

    Я понимаю, что есть опция по умолчанию, уже установленная в OpenBSD для ведения журнала, поэтому это альтернатива, если есть что-то, что было сломано или неправильно настроено с этой настройкой!

    Если у вас возникла проблема с регулярными средствами ведения журнала, включенными в OpenBSD 5.3, вы можете переопределить, куда отправляются журналы, используя следующую модификацию в файле sshd_config:

     SyslogFacility LOCAL7 

    Затем настройте syslogd, чтобы получить эти сообщения и записать их в отдельный файл:

     local7.* /var/log/local7.log 

    Обязательно перезапустите службы sshd и syslogd после внесения указанных изменений.

    pam_exec

    Если вы хотите что-то более настраиваемое, вы можете захотеть pam_exec на pam_exec . Более подробная информация находится на странице руководства pam_exec, а также в этом учебнике под названием « Входные уведомления», сценарии pam_exec .

    Идея проста, создайте такой скрипт, как notify-logins:

     #!/bin/sh [ "$PAM_TYPE" = "open_session" ] || exit 0 { echo "User: $PAM_USER" echo "Ruser: $PAM_RUSER" echo "Rhost: $PAM_RHOST" echo "Service: $PAM_SERVICE" echo "TTY: $PAM_TTY" echo "Date: `date`" echo "Server: `uname -a`" } | mail -s "`hostname -s` $PAM_SERVICE login: $PAM_USER" root 

    Этот сценарий может быть адаптирован для входа в файл вместо него. Затем вам нужно добавить этот скрипт к настройке pam:

     auth [default=ignore] pam_exec.so /usr/local/bin/notify-logins 

    Убедитесь, что сценарий выше выполним (chmod + x notify-logins). Выяснить, где разместить строку pam, вероятно, самая сложная часть этого метода. Вот достойный учебник , который, надеюсь, поможет вам в правильном направлении.

    fail2ban

    Третий подход – использовать такой инструмент, как fail2ban который может сделать намного больше, чем неудачные попытки входа в журнал. Он может реагировать на них и по-разному. Здесь есть хороший учебник, озаглавленный: Как защитить SSH с fail2ban на Ubuntu 12.04 . Он ориентирован на Ubuntu, но может быть адаптирован для OpenBSD.

    Рекомендации

    • Лучшие 20 лучших практик безопасности OpenSSH
    Linux и Unix - лучшая ОС в мире.