ssh logins nicht loggen

S

simonwiese

Grünschnabel

• 29.09.2009

• #1

Hallo zusammen!

Vielleicht eine ungewöhnliche Frage aber wie kann ich sshd da zubringen keine Informationen mit zu loggen? Also weder in /var/log/auth.log noch wtmp btmp bzw. lastlog....?

Danke für eure Hilfe,
Simon

 

bitmuncher

Foren Gott

• 29.09.2009

• #2

Indem du deinen Syslog-Daemon entsprechend einstellst.

 

freak_out

Cookie

• 29.09.2009

• #3

Einfach in der /etc/ssh/sshd_config folgendes auskommentieren:

Code:

# Logging
SyslogFacility AUTH
LogLevel INFO

Also:

Code:

# Logging
#SyslogFacility AUTH
#LogLevel INFO

Denkmal dann sollte es gehen!

Zumindestens sollte es gehen laut google

 

S

simonwiese

Grünschnabel

• 29.09.2009

• #4

Danke für die schnellen antworten!

@freak_out:
hab ich natürlich auch schon versucht - tut aber nicht...

@bitmuncher:
mit syslog kann ich doch nur die auth.log "steuern" aber nicht btmp, wtmp und lastlog - oder überseh ich was?!


Grüße,
Simon

 

G

Gast1

• 29.09.2009

• #5

Wie wäre es mit RTFM?

man sshd_config schrieb:

Code:

     loglevel
             gives the verbosity level that is used when logging messages from sshd(8).  The possible
             values are: QUIET, FATAL, ERROR, INFO, VERBOSE, DEBUG, DEBUG, DEBUG2, and DEBUG3.  The
             default is INFO.  DEBUG and DEBUG1 are equivalent.  DEBUG2 and DEBUG3 each specify
             higher levels of debugging output.  Logging with a debug level violates the privacy of
             users and is not recommended.

Zum Vergrößern anklicken....

 

S

simonwiese

Grünschnabel

• 29.09.2009

• #6

IRTFM!

weder QUIET noch FATAL unterdrücken die Eintragungen in btmp, wtmp oder lastlog

Trotzdem danke!

 

G

Gast1

• 29.09.2009

• #7

Macht ja auch Sinn, weil die letzteren unabhängig davon sein sollten, wie sich der entsprechende User eingeloggt hat (zumindest bei lastlog bin ich mir 100%ig sicher).

Mit QUIET, FATAL oder ERROR werden keinerlei Logins in den "human readable" Logs angezeigt (bei mir ist das sshd/sshd.log, mein syslog ist etwas "modifiziert"), die anderen Dateien lastlog, wmtp&co sind ja "binär" angelegt.

Ob das überhaupt geht _alles_ abzuschalten wage ich zu bezweifeln, wenn es ginge wäre es auf jeden Fall wenig sinnvoll.

Kannst ja versuchen Dein eigenes rootkit zusammen zu stöpseln, die können so etwas.

:-)

 

Jabo

Aufgabe ohne Minister

• 29.09.2009

• #8

Rain_Maker schrieb:

Ob das überhaupt geht _alles_ abzuschalten wage ich zu bezweifeln, wenn es ginge wäre es auf jeden Fall wenig sinnvoll.

Zum Vergrößern anklicken....

eben.

es soll eine secureshell sein, weshalb der Admin wenigstens wissen möchte, wer zu Besuch war. Das ist doch das Minimum, daß man wissen möchte, wenn man überhaupt SSH-Logins hat

 

S

simonwiese

Grünschnabel

• 29.09.2009

• #9

jap ich denk auch des es dafür keinen schalter gibt der einem sowas macht.

Mal schauen wie ich das Regel...


Trotzdem allen vielen dank!

 

Shorti

Routinier

• 30.09.2009

• #10

Loesch einfach die Logs regelmaessig (Per cronjob zB alle 5min)
Wenn du nicht die gesammten logs loeschen willst, dann loesch nur die sshd-Zeilen.

 

Jabo

Aufgabe ohne Minister

• 30.09.2009

• #11

dennoch widerspricht das aber grundsätzlich der Idee von syslog und auch der von ssh, oder?

 

saeckereier

Graue Eminenz

• 30.09.2009

• #12

Jetzt bin ich interessiert: Wozu das ganze?

 

T-One

Routinier

• 30.09.2009

• #13

starte den sshd als

sshd -e 2>/dev/null somit gehen alle sshd ausgaben an stderr die du wiederrum an /dev/null schickst.

du kannst auch versuchen sshd mit option -q zu starten, dann sollte er sich ebenfalls ganz ruhig verhalten, bis auf wirkliche fehlermeldungen. Punkt 1 macht das alles aus.

PS: ich hab das eigentlich immer nur auf servern gebraucht auf denne ich nix verloren hab