Выявление сессий по ключу SSH: различия между версиями
Дым (обсуждение | вклад) Нет описания правки |
Дым (обсуждение | вклад) Нет описания правки |
||
| Строка 5: | Строка 5: | ||
<дата> <время> <хост назначения> <демон[пид]> Accepted publickey for <логин> from <IP-адрес> port <номер> ssh2: <алгоритм ключа> <контрольная сумма ключа> | <дата> <время> <хост назначения> <демон[пид]> Accepted publickey for <логин> from <IP-адрес> port <номер> ssh2: <алгоритм ключа> <контрольная сумма ключа> | ||
</pre> | </pre> | ||
В то же время, чек-суммы ключей для допущенных пользователей можно извлечь из файла {{path|~/.ssh/authorized_keys}} командой {{cmd|ssh-keygen -E SHA256 -lf ~/.ssh/authorized_keys}} | В то же время, чек-суммы ключей для допущенных пользователей | ||
#можно извлечь из файла {{path|~/.ssh/authorized_keys}} командой {{cmd|ssh-keygen -E SHA256 -lf ~/.ssh/authorized_keys}}, где они хранятся в формате <pre>ssh-<алгоритм> <публичный ключ> <его владелец></pre> и | |||
#сопоставить их со входами этих пользователей. | |||
Набросал для этих целей скриптец: | Набросал для этих целей скриптец: | ||
{|class="mw-collapsible mw-collapsed wikitable" | |||
<source lang=bash> | !/usr/local/bin/sswho | ||
|- | |||
|<source lang=bash> | |||
#!/bin/bash | #!/bin/bash | ||
| Строка 27: | Строка 30: | ||
printf "${DATE/T/ } %-10s %-15s %s\n" $LOGIN $IP $OWNER | printf "${DATE/T/ } %-10s %-15s %s\n" $LOGIN $IP $OWNER | ||
done <<<`journalctl -o short-iso -u $UNIT | awk '/Accepted publickey/{print $1,$7,$9,$14}'` | done <<<`journalctl -o short-iso -u $UNIT | awk '/Accepted publickey/{print $1,$7,$9,$14}'` | ||
</source> | </source> | ||
|} | |||
Версия от 04:54, 27 сентября 2023
Когда к одному логину на сервере приходится давать доступ нескольким персоналиям (например, нескольким разработчикам к логину webmaster для работы с сайтом), хотелось бы понимать, кто именно, откуда и когда входил.
И это далеко не столь сложно, как может представляться, поскольку в журнал SSHd сыплются в т.ч. сообщения формата:
<дата> <время> <хост назначения> <демон[пид]> Accepted publickey for <логин> from <IP-адрес> port <номер> ssh2: <алгоритм ключа> <контрольная сумма ключа>
В то же время, чек-суммы ключей для допущенных пользователей
- можно извлечь из файла ~/.ssh/authorized_keys командой ssh-keygen -E SHA256 -lf ~/.ssh/authorized_keys, где они хранятся в формате
ssh-<алгоритм> <публичный ключ> <его владелец>
и - сопоставить их со входами этих пользователей.
Набросал для этих целей скриптец:
| /usr/local/bin/sswho |
|---|
#!/bin/bash
UNIT=sshd # в некоторых дистрибутивах этот юнит не содержит "d".
case $LANG in
ru*)printf " Дата Время Логин IP-адрес Чей ключ\n";;
*) printf " Date Time Login IP address Key owner\n"
esac
while read LOGINS; do
LINE=($LOGINS)
DATE=${LINE[0]%+*}
LOGIN=${LINE[1]}
IP=${LINE[2]}
OWNER=`ssh-keygen -E SHA256 -lf ~/.ssh/authorized_keys | grep "${LINE[3]}" | cut -d' ' -f3`
printf "${DATE/T/ } %-10s %-15s %s\n" $LOGIN $IP $OWNER
done <<<`journalctl -o short-iso -u $UNIT | awk '/Accepted publickey/{print $1,$7,$9,$14}'`
|