FTP-Protokolliert

Heute ist Stammtischzeit:
Jeden Donnerstag 20:30 Uhr hier im Chat.
Wer Lust hat, kann sich gerne beteiligen. ;)
  • Hallo Leute,

    gibt es ein Programm der mir Benutzeraktivitäten auf meinem SFTP-Server anzeigt und speichert? D.h wenn jemand eine Datei anschaut oder downloadet z.B "Pi" als Benutzer, und das es protokolliert wird?, und ob sich jemand mehrmals als "Root" oder "PI" ausgibt (mehrmals das PW flasch eingibt) (hack) eingibt mit ip von demjenigen und dann automatisch sperrt?

    MFg

    Einmal editiert, zuletzt von Devs (14. Mai 2014 um 23:42)

  • Ein fertiges Programm wird es wahrscheinlich nicht geben, vielmehr bietet es sich an, ein Bash-Script dafür zu schreiben. Abfrage von Logbucheinträgen, IP sperren z.B. über "iptables" usw.

    Am besten Schritt für Schritt anfangen. Dokumentation und Beispiele für die Skriptprogrammierung (Bash Script) lassen sich leicht "ergoogeln".

    Gruß, mmi

  • Schau dir die Conf deines SFTP deamons an. Dort gibt es bestimmt Möglichkeiten den LOGLEVEL zu erhöhen. dann sollte evetuell mehr in /var/log/* zu finden sein. Eventuell kannst du dort auch ein extra Logfile festlegen ( steht in der Doku/man-page oder Frau Google weiß das)

    --
    man ist das System-Anzeigeprogramm für die Handbuchseiten von Linux.

  • Log siehe Thread von Lunepi.
    Die Anmeldeversuche unterbindest du mit z.B. Fail2ban

    Offizieller Schmier und Schmutzfink des Forum.
    Warum einfach wenn's auch schwer geht ?

    Kein Support per PN !
    Fragen bitte hier im Forum stellen. So hat jeder etwas davon.

  • Ich kann mich auch nur der Signatur von Lunepi anschliessen.
    Lest einfach die Manpages; in dem Fall die von sftp-server.

    Über die Option "-f" eine noch nicht benutzte syslog facility wählen und über "-l" den gewünschten Loglevel einstellen.
    Einfach mal mit verschiedenen Logleveln solange probieren, bis das passende Maß gefunden ist.

    Diese beiden Optionen müssen in der /etc/ssh/sshd_config eingetragen werden.

    Anschliessend in die /etc/syslog.conf einen Eintrag für das gewählte log facility mit Verweis auf die Datei, in die geloggt werden soll, eintragen.

    Ein Beispiel findet man hier.

    Zum Schluss müssen beide daemons (sshd und syslogd) noch dazu gebracht werden, sich neu zu initalisieren,
    was man bei Unix Daemons üblicherweise über ein SIGHUP deren PIDs signalisiert.

    Code
    $ sudo pkill -1 -P1 -u0 sshd
    $ sudo pkill -1 -P1 -u0 syslogd

    Alles - das Editieren der Dateien und das Senden von Signalen an die daemons - erfordert natürlich root Rechte (deshalb oben sudo).

    Man kann die daemons natürlich auch über die jeweilige init Methode zum Reinitialisieren veranlassen.
    z.B.

    Code
    $ sudo /sbin/service sshd reload


    oder alternativ

    Code
    $ sudo /etc/init.d/syslog reload


    Aber das ist von System zu System verschieden
    (was Debian benutzt weiss ich nicht, systemd Distros wiederum sehen systemctl Kommandos dafür vor)

    Einmal editiert, zuletzt von Life_of_Pi (15. Mai 2014 um 12:43)

Jetzt mitmachen!

Du hast noch kein Benutzerkonto auf unserer Seite? Registriere dich kostenlos und nimm an unserer Community teil!