Выявление сессий по ключу SSH: различия между версиями
Дым (обсуждение | вклад) (→Входы) Метка: ручная отмена |
Дым (обсуждение | вклад) (→Выходы) |
||
| Строка 44: | Строка 44: | ||
=Выходы= | =Выходы= | ||
Куда сложней обстоит дело с завершением таких сеансов ввиду перманентной долбёжки ботами, войти которые не могут (не только ввиду отключённого парольного доступа, но их ещё и {{cmd|fail2ban}} за настырность блокирует), однако выходить после неудач вынуждены — что журналируется | Куда сложней обстоит дело с завершением таких сеансов ввиду перманентной долбёжки ботами, войти которые не могут (не только ввиду отключённого парольного доступа, но их ещё и {{cmd|fail2ban}} за настырность блокирует), однако выходить после неудач вынуждены — что журналируется, забивая выходы «честных бродяг». | ||
Посему длительность сессии приходится прикидывать наугад, выявляя глазами ближайшие от логина по ключу логауты. | Посему длительность сессии приходится прикидывать наугад, выявляя глазами ближайшие от логина по ключу логауты. | ||
=Обратная связь= | =Обратная связь= | ||
*[https://t.me/gbIMoBou @gbIMoBou] | *[https://t.me/gbIMoBou @gbIMoBou] | ||
Версия от 06:24, 27 сентября 2023
Входы
Когда к одному логину на сервере приходится давать доступ нескольким персоналиям (например, разным разработчикам к логину webmaster для работы с сайтом), хотелось бы понимать, кто именно, откуда и когда входил.
И это далеко не столь сложно, как может представляться, поскольку в журнал SSHd сыплются в т.ч. сообщения формата:
<дата> <время> <хост назначения> <демон[пид]> Accepted publickey for <логин> from <IP-адрес> port <номер> ssh2: <алгоритм ключа> <контрольная сумма ключа>
В то же время, чек-суммы ключей для допущенных пользователей…
- можно получить командой ssh-keygen -E SHA256 -lf ~/.ssh/authorized_keys из указанного в ней файла, где они хранятся в виде:
ssh-<алгоритм> <публичный ключ> <его владелец>
- и сопоставить их со входами этих пользователей.
Набросал для этих целей скриптец:
| развернуть/usr/local/bin/sswho |
|---|
Вывод выглядит так:
Дата Время Логин IP-адрес Чей ключ год-мес-день ЧЧ:ММ:СС логин ип.ад.ре.с владелец@ключа ... год-мес-день ЧЧ:ММ:СС логин ип.ад.ре.с владелец@ключа
Выходы
Куда сложней обстоит дело с завершением таких сеансов ввиду перманентной долбёжки ботами, войти которые не могут (не только ввиду отключённого парольного доступа, но их ещё и fail2ban за настырность блокирует), однако выходить после неудач вынуждены — что журналируется, забивая выходы «честных бродяг».
Посему длительность сессии приходится прикидывать наугад, выявляя глазами ближайшие от логина по ключу логауты.