Выявление сессий по ключу SSH
Версия от 04:41, 27 сентября 2023; Дым (обсуждение | вклад) (Новая страница: «Когда к одному логину на сервере приходится давать доступ нескольким персоналиям (например, нескольким разработчикам к логину <code>webmaster</code> для работы с сайтом), хотелось бы понимать, кто именно, откуда и когда входил. И это далеко не столь сложно, как мо...»)
Когда к одному логину на сервере приходится давать доступ нескольким персоналиям (например, нескольким разработчикам к логину webmaster
для работы с сайтом), хотелось бы понимать, кто именно, откуда и когда входил.
И это далеко не столь сложно, как может представляться, поскольку в журнал SSHd сыплются в т.ч. сообщения формата:
<дата> <время> <хост назначения> <демон[пид]> Accepted publickey for <логин> from <IP-адрес> port <номер> ssh2: <алгоритм ключа> <контрольная сумма ключа>
В то же время, чек-суммы ключей для допущенных пользователей можно извлечь из файла ~/.ssh/authorized_keys командой ssh-keygen -E SHA256 -lf ~/.ssh/authorized_keys — и сопоставить их со входами этих пользователей.
Набросал для этих целей скриптец:
#!/bin/bash
case $LANG in
ru*)printf " Дата Время Логин IP-адрес Чей ключ\n";;
*) printf " Date Time Login IP address Key owner\n"
esac
while read LOGINS; do
LINE=($LOGINS)
DATE=${LINE[0]%+*}
printf "${DATE/T/ } %-10s %-15s %s\n" ${LINE[1]} ${LINE[2]} `ssh-keygen -E SHA256 -lf ~/.ssh/authorized_keys | grep "${LINE[3]}" | cut -d' ' -f3`
done <<<`journalctl -o short-iso -u sshd | awk '/Accepted publickey/{print $1,$7,$9,$14}'`