SCP logging
Christian Horn
chorn at fluxcoil.net
Mi Feb 18 11:48:04 CET 2009
Hi,
On Wed, Feb 18, 2009 at 11:38:01AM +0100, David Schueler wrote:
>
> Ich verzeichne auf einem meiner Server eine ungewollte Aktivität. Mein
> rrd-statistik tool meldet kurze logins. Jedoch kann ich diese im lastlog
> und auth.log nicht nachvollziehen. Ich vermute hier eine nicht erlaubte
> nutztung von scp. Vermutlich hat jemand das Passwort erraten.
>
> Um dies in Zukunft genauer analysieren zu können, würde ich gern scp
> Übertragungen mit Datum, Zeit, Nutzer und IP in ein Logfile schreiben.
> Gibt es eine Möglichkeit dies zu realisiern? Meines Wissens kann man scp
> logging in der sshd_config nicht aktivieren, das es diese Option nicht
> gibt.
Keine richtig gute idee fuer monitoring hier auf Applikationsebene,
ich wuerde mir die netzebene genauer anschauen.
Z.b. mmittels tcpdump alle tcp-syn-packete mitschneiden lassen,
iptraf oder iptables zur beobachtung bennutzen.
Christian