Como faço para registrar a porta SSH?

8

Digamos que eu tenha um servidor SSH, com o encaminhamento de porta ativado. É bastante simples para um usuário configurar uma conexão SSH e encaminhar o tráfego BitTorrent ou outro tráfego ilegal ou abusivo sobre ela. Como configurar o log para registrar qual porta os encaminhadores fazem?

ssh ssh-tunnel interagir
fonte
Para qualquer nível razoável de segurança, é necessário garantir que o mesmo nível de registro esteja disponível em todos os outros programas em seu sistema que possam ser usados ​​para encaminhar tráfego - incluindo programas que os usuários escrevem / compilam.
precisa saber é o seguinte
2
Se você não confia em alguém, certamente seria melhor simplesmente não dar acesso à sua rede.
Zoredache
@ Zoredache Então a resposta é não dar a ninguém acesso à sua rede?
rox0r

Respostas:

2

Estou fazendo uma pergunta aqui Como um processo de host SSH pode detectar quais portas foram encaminhadas pelo cliente (-R não -L) para encontrar uma maneira mais elegante de fazer a mesma coisa.

No entanto, como não parece haver uma maneira melhor, eu faço isso com lsof:

sudo lsof [email protected] -Fn -p99999 | grep "^n" | grep -v '\->' | awk -F: '{print $NF}' | sort | uniq

99999 é o PID da sshdmanipulação da conexão em que você está interessado.

Existem algumas maneiras de usar esse trecho. Você tem um processo de execução demorada que procura novas instâncias sshde as introspecta usando o comando acima, ou você prefixa todas as .ssh/authorized_keysentradas com um comando personalizado que faz isso, registra-o em algum lugar e, em seguida, execo comando pretendido original ( SSH_ORIGINAL_COMMANDou o shell de login na maioria dos casos) casos).

Bo Jeanes
fonte
0

você pode tentar o wireshark . Sinceramente, não tenho certeza se ele fará especificamente o que você deseja, mas certamente pode determinar o que os usuários estão fazendo na rede. Spiceworks é outra opção gratuita

MaQleod
fonte
0

netstat, pse alguns cuting & greping inteligentes. O Netstat pode fornecer os IDs do programa e o ps, o usuário.

user@myhome:~$ ssh [email protected] -R 12345:other.server:22

enquanto isso, do outro lado do console

[email protected]# netstat -plnt | grep 12345
tcp        0      0 127.0.0.1:12345         0.0.0.0:*               LISTEN     12998/15            
tcp6       0      0 ::1:12345               :::*                    LISTEN     12998/15 
                                                                                 ^ PID!

Claro que você não conhecerá a porta especificada no grep, grep está aqui para restringir minha saída

e

ps -aux | grep 12998 # the PID
user   12998  0.0  0.1   6624  1920 ?        S    07:57   0:00 sshd: user@pts/15

et voila! você sabe que o usuário "user" está redirecionando a porta 12345 usando sshd

script & cron algo usando isso

teísta
fonte