SCP logging

Christian Horn chorn at fluxcoil.net
Mi Feb 18 11:48:04 CET 2009


Hi,

On Wed, Feb 18, 2009 at 11:38:01AM +0100, David Schueler wrote:
> 
> Ich verzeichne auf einem meiner Server eine ungewollte Aktivität. Mein 
> rrd-statistik tool meldet kurze logins. Jedoch kann ich diese im lastlog 
> und auth.log nicht nachvollziehen. Ich vermute hier eine nicht erlaubte 
> nutztung von scp. Vermutlich hat jemand das Passwort erraten.
> 
> Um dies in Zukunft genauer analysieren zu können, würde ich gern scp 
> Übertragungen mit Datum, Zeit, Nutzer und IP in ein Logfile schreiben. 
> Gibt es eine Möglichkeit dies zu realisiern? Meines Wissens kann man scp 
> logging in der sshd_config nicht aktivieren, das es diese Option nicht 
> gibt.
Keine richtig gute idee fuer monitoring hier auf Applikationsebene,
ich wuerde mir die netzebene genauer anschauen.
Z.b. mmittels tcpdump alle tcp-syn-packete mitschneiden lassen,
iptraf oder iptables zur beobachtung bennutzen.

Christian