Linux: Hogyan tudom megnézni, hogy ki lépett be a gépemre távoli kapcsolattal (ssh)?
Egy kölcsözött gép van nálam, amely az Iskola tulajdona.
A mai napon érdekes dologra lettem figyelmes. Szerettem
volna leállítani a gépet, mire ez az ablak jelent meg
a képernyőn:
Szerintem valaki rá ssh-zott a gépemre (vagyis a kölcsönzött gépemre) ezáltal gondolom a saját képernyőjén nyomon követte a tevékenységem. Belenéztem a log fájlokba az auth.log-ban kerestem sddm-re, illetve ssh-ra de semmi, lehet kitörölték. Közben a home könyvtárban rejtett mappaként létrejött egy .ssh nevű mappa, amely eddig nem volt ott. Szerintetek történhetett úgy távoli kapcsolat, hogy a gép nem jelezte nekem? Vagy lehet feltörték a gépet, meg tudom nézni valahogy, hogy ki csatlakozott be távolról a gépre? Terminálban láttam egy pár root bejelentkezést is, ami nekem gyanús mert én nem léptem be root-ként max amíg egy két programot feltelepítettem.
válasza:elvileg van az sshd -nak logja, abban tudod megnézni.
keress rá az /var/log/ssh
mappában
lehet az auth.log az.
amúgy ez a kulcsügynök ez gondolom az SSHD-nak az autentikációhoz szükséges titkosító kulcs agent-je, "ügynöke", tehát nem hiszem, hogy ez probléma.
itt is az auth.log-ot mondják.
esetleg egy netstat -tal megnézhetted volna az aktuális kapcsolatokat.
(nem értek hozzá...)
Nembaj, azért köszi.
Szerintem beléptek a gépre.
Kíváncsi lennék ki és honnan.
Miért települt nekem az ssh-amikor
én tegnapelőtt telepítettem újra a gépet.
Live cd-vel bementem és nincs olyan rejtett mappa a home könyvtárban, hogy .ssh ráadásul az auth.log-ban vélhetően én úgy vettem ki, hogy volt más felhasználó is. Ebben kérnék egy kis megerősítést, mert szerintem valaki van még a gépen rajtam kívül. Ráadásul a root-al is szórakozik, mert hogy én biztos, hogy bekapcsolás óta a mai napon közelébe sem mentem még a sudo parancsnak sem,, és mégis ott van a naplózásban. 11:17-től kezdve!
Tegnap is gyanús volt már valami:
Én biztos, hogy nem szórakoztam a root-al! Ráadásul nekem úgy tűnik, hogy c2-vel valaki bent van a gépben lightdm-felhasználó néven. De nem értek hozzá én sem igazából, lehet belelátom, de valami nem tetszik nekem ebben.
válasza:"Live cd-vel bementem és nincs olyan rejtett mappa a home könyvtárban, hogy .ssh"
Biztos, hogy a gépen lévő rendszert nézed? És akkor ez?
"Közben a home könyvtárban rejtett mappaként létrejött egy .ssh nevű mappa, amely eddig nem volt ott."
Egyébként miért liveCD-vel?
"Terminálban láttam egy pár root bejelentkezést"
Mármint a history-ban? Vagy mit láttál pontosan?
Egyébként elég egyszerű ellenőrizni, átmenetileg állítsd le és tiltsd le az ssh szerver szolgáltatást, és úgy nézd meg, látod-e ugyanezeket.
válasza:Szerintem ez mind az openssh szerver természetes működéséből adódik. Talán még egy kis systemd bug is lehet benne, erről láttam itt-ott jelzéseket, de amúgy kár túlagyalni.
Próbáltad átírni a jelszót? Egyáltalán miért fut az ssh szerver?
Nem tudom, hogy releváns-e még, de a legtöbb linux rendszeren van kis program ami a /var/log/wtmp fájlt értelmezi:
last
Ezt beírva láthatod a bejelentkezések felhasználónevét, idejét, időtartamát és helyét (pl :0 ha a helyi monitoron történt, IP ha távolról, :pts vagy :tty ha egy folyamat vagy felhasználó nyitott egy helyi terminált...)
Kapcsolódó kérdések:
Minden jog fenntartva © 2024, www.gyakorikerdesek.hu
GYIK | Szabályzat | Jogi nyilatkozat | Adatvédelem | Cookie beállítások | WebMinute Kft. | Facebook | Kapcsolat: info(kukac)gyakorikerdesek.hu
Ha kifogással szeretne élni valamely tartalommal kapcsolatban, kérjük jelezze e-mailes elérhetőségünkön!