So erfassen Sie die Remote-Anmeldeereignisse [rsh / rcp] und die Informationen mithilfe von syslog.conf

2187
Balualways

Ich suche nach Möglichkeiten, die Remote-Login-Ereignisse auf meinem Linux-Server [Oracle Linux 5x] zu erfassen. Viele Benutzer stellen eine Verbindung zum Server mit den Protokollen rcp und rsh her. Ich möchte die Ereignisse erfassen (z. B. Server, von dem aus sie protokolliert werden, Unix-ID, Dateidetails für rcp).

In meiner syslog.conf erfasse ich die folgenden Details. local7. * / var / log / ftplogs authpriv. * / var / log / sftplog

Verpasse ich irgendwelche Einrichtungen?

1
The question(s) you have to ask yourself: are those events showing up in any of my systems current logs? If so, by which means of syslog did they get there? tink vor 11 Jahren 0
Ich kann die ssh / ftp / scp -Ereignisse in meinen syslog-Protokolldateien abrufen. Das Problem ist nur bei rcp und rsh Balualways vor 11 Jahren 0
Eine wilde Idee ist, die Befehle rcp und rsh umzubenennen und durch Skripts zu ersetzen, die die Protokollierung durchführen und dann den Befehl real aufrufen. harrymc vor 11 Jahren 0

1 Antwort auf die Frage

2
Marcel

Sie müssen rshdmit dem -LEinschaltparameter server_argsinnerhalb beginnen xinetd.conf:

service shell { disable = no socket_type = stream  wait = no  user = root log_on_success += USERID log_on_failure += USERID server = /usr/sbin/in.rshd  server_args = -L }
Ich habe diese Informationen bereits in meiner xinetd.conf Balualways vor 11 Jahren 0
Ich habe eine logrotate in der Protokolldatei, nach der Rotation werden nur wenige Informationen wie rsh im Protokoll nicht erfasst. Sieht so aus, als müsste ich nach jeder Drehung den Syslog-Dienst neu starten. Balualways vor 11 Jahren 0
Danke für die Details marcel - ich bin nur gespannt, was die "log_on_success + = USERID" in Ihrer xinetd.conf tun wird Balualways vor 11 Jahren 0
Vielleicht ist Ihre Frage in Bezug auf Logrotate nicht, sich nach dem Drehen zu protokollieren? Ich weiß, dass Logrotate einige Probleme hat, wenn SIGUSR1 nicht an die PID gesendet wird, aber ich weiß es nicht genau. Vielleicht möchten Sie etwas googeln. Marcel vor 11 Jahren 0
Fügen Sie Folgendes in die logrotate-Datei ein [postrotate; / bin / kill -HUP `cat /var/run/syslogd.pid 2> / dev / null` 2>], Das Syslog begann mit der korrekten Erfassung der auth.info, wodurch rcp und rsh aktiviert werden. Danke Balualways vor 11 Jahren 0

Verwandte Probleme