Как перехватить события и информацию удаленного входа [rsh / rcp] с помощью syslog.conf

2098
Balualways

Я изучаю способы захвата событий удаленного входа в систему на моем сервере Linux [Oracle Linux 5x]. Многие пользователи подключаются к серверу с использованием протоколов rcp и rsh, я хочу записать события [например, сервер, с которого они регистрируются, идентификатор Unix, данные файла для rcp]

В моем syslog.conf я фиксирую следующие детали. local7. * / var / log / ftplogs authpriv. * / var / log / sftplog

Я пропускаю какие-либо услуги.

1
Вопрос (ы), которые вы должны задать себе: отображаются ли эти события в текущих журналах моей системы? Если да, то с помощью какого системного журнала они туда попали? tink 11 лет назад 0
Я могу получить события ssh / ftp / scp в лог-файлах системного журнала. Проблема только с rcp и rsh Balualways 11 лет назад 0
Одной из диких идей является переименование и замена команд rcp и rsh скриптами, которые будут выполнять регистрацию, а затем вызывать настоящую команду. harrymc 11 лет назад 0

1 ответ на вопрос

2
Marcel

вам нужно начать rshdс -Lвключения server_argsпараметра в пределах xinetd.conf:

service shell { disable = no socket_type = stream  wait = no  user = root log_on_success += USERID log_on_failure += USERID server = /usr/sbin/in.rshd  server_args = -L }
У меня уже есть эта информация в моем xinetd.conf Balualways 11 лет назад 0
У меня есть logrotate в файле журнала, после поворота немного информации, такой как rsh, не фиксируется в журнале. Похоже, после каждого поворота мне нужно перезапустить службу системного журнала. Balualways 11 лет назад 0
Спасибо за детали marcel - мне просто любопытно, что "log_on_success + = USERID" будет делать в вашем xinetd.conf Balualways 11 лет назад 0
Так что, может быть, ваш вопрос о том, что logrotate не ведет журнал после вращения? Я знаю, что у logrotate есть некоторые проблемы, когда SIGUSR1 не отправляется в PID, но я точно не знаю. Возможно, захотите погуглить. Marcel 11 лет назад 0
Добавив следующее в файл logrotate [postrotate; / bin / kill -HUP `cat /var/run/syslogd.pid 2> / dev / null` 2>], Системный журнал начал корректно регистрировать auth.info, который включает rcp и rsh. Спасибо Balualways 11 лет назад 0

Похожие вопросы