Denuncie   Favoritos   Indicar  

01 02

Monitoramento de acessos [RESOLVIDO]

1. Monitoramento de acessos [RESOLVIDO]

Hudson de Oliveira Souza
verovan
(usa openSUSE)

Enviado em 02/05/2012 - 11:08h

Bom dia galera do VOL

Bom estou com um processo um pouco complicado de resolver, seguinte, preciso fazer um monitoramento dos acessos ssh de minha rede, por exemplo, tenho várias máquina na rede que fazem acesso ssh aos servidores que estão remoto e tenho o firewall em minha rede, assim a máquina 192.168.0.x acessa um servidor remotamente, eu preciso de um relatório ou algo que me mostre que essa máquina fez essa conexão.

Se alguem conhecer alguma ferramenta que possa gerar esse relatorio, desde já agradeço.

0 0
  • Quote

    •   


    2. MELHOR RESPOSTA

    Perfil removido
    removido
    (usa Nenhuma)

    Enviado em 10/05/2012 - 12:01h

    qual regra você colocou no teu firewall ?

    Em que nivel você está salvando os logs do firewall e em qual arquivo ?

    Tenta as regras abaixo:

    # iptables -I FORWARD -p tcp --dport 22 -j LOG --log-level crit --log-prefix "eth2 FORWARD SSH"
    # iptables -I FORWARD -p tcp --dport 22 -j ACCEPT

    Ou

    # iptables -I FORWARD -o eth2 -p tcp --dport 22 -j LOG --log-level crit --log-prefix "eth2 FORWARD SSH"
    # iptables -I FORWARD -o eth2 -p tcp --dport 22 -j ACCEPT

    Depois gera o relatório via linha de comando ou se quiser automaticamente como explicado no artigo

    *** abaixo vou fazer via linha de comando um relatorio da porta 22 do ssh ***

    NO EXEMPLO: estou supondo que o arquivo que contém os logs é /var/log/firewall/firewall.log e o nível do log está configurado como crit (mas mude conforme sua configuração) e será um relatório das ultimas duas horas e das ultimas 100 linhas "-M 100"

    Gerando relatório detalhado da porta 80:

    # fwlogwatch /var/log/firewall/firewall.log -l 2h -d -s -t -e -y -M 100 -Eipd22 -U "Relatorio da Porta 22 ssh externo" -w -o ssh.html
    0 0
  • Quote

    • 3. Re: Monitoramento de acessos [RESOLVIDO]

    Perfil removido
    removido
    (usa Nenhuma)

    Enviado em 02/05/2012 - 11:12h

    Tem sim amigo, começando pelos logs do sistema?

    Arquivo: /var/log/auth.log

    você pode usar serviços também como os que estão descritos nos links abaixo:

    http://www.vivaolinux.com.br/artigo/Incron-supervisionando-sistemas-de-arquivos/
    http://segurancalinux.com/artigo/Snoopy-e-Auditd-fazendo-auditoria-no-Linux?pagina=1
    http://www.vivaolinux.com.br/artigo/AUDIT-Auditoria-de-arquivos-no-Linux-para-conhecer-quem-fez-alte...


    bom... qualquer pergunta estamos ai.

    0 0
  • Quote

    • 4. Re: Monitoramento de acessos [RESOLVIDO]

    Perfil removido
    removido
    (usa Nenhuma)

    Enviado em 05/05/2012 - 10:56h

    iai cara dá um retorno ai, conseguiu ?

    0 0
  • Quote

    • 5. Re: Monitoramento de acessos [RESOLVIDO]

    Hudson de Oliveira Souza
    verovan
    (usa openSUSE)

    Enviado em 09/05/2012 - 17:13h

    Bom,

    Esse terceiro link que me mandou ajudou, mas acho que não ficou muito claro o que seria preciso e também vendo melhor seria impossível da forma que está hoje, é o seguinte, em nossa temos um firewall e em nossas máquinas fazemos acesso ssh para servidores remotos, ai teria que gerar um relatório em nosso firewall das nossas máquina que fizeram acesso ssh e em qual servidor eles acessaram, seria dessa forma: Rede --->>> firewall --->>> Internet --->> Servidor do cliente, ai ali no firewall gerar uma relatório informando que por exemplo a máquina 192.168.1.x acesso o ip 200.150.120.x.

    Pelo que pesquisei isso seria possível somente se configurasse no firewall um servidor de ssh, ai o pessoal teria que logar no firewall e do firewall fazer um ssh para os servidores e assim eu poderia gerar o relatório.


    Não conheço uma forma de monitar isso no firewall, seria possível da forma que está hoje?

    0 0
  • Quote

    • 6. Re: Monitoramento de acessos [RESOLVIDO]

    Perfil removido
    removido
    (usa Nenhuma)

    Enviado em 09/05/2012 - 17:22h

    Que tal implantar o que tem no terceiro link no servidor que é acessado pelo cliente via ssh e os logs serem enviados para o servidor de firewall via ssh ?

    0 0
  • Quote

    • 7. Re: Monitoramento de acessos [RESOLVIDO]

    Perfil removido
    removido
    (usa Nenhuma)

    Enviado em 09/05/2012 - 17:26h

    Poderia fazer também é monitorar os logs do firewall, assim saberia que sua máquina cliente que está atrás do firewall acessou tal ip pela porta do ssh.

    abaixo tem esse link olha ai e vê se ajuda essa opção que postei agora ou a anterior :

    http://www.vivaolinux.com.br/artigo/FwLogWatch-Analisando-Registros-do-IPtables/

    você pode até aplicar um filtro, e só monitorar e gerar um relatório da porta do ssh e enviar para uma pasta especifica esse relatório

    0 0
  • Quote

    • 8. Re: Monitoramento de acessos [RESOLVIDO]

    Hudson de Oliveira Souza
    verovan
    (usa openSUSE)

    Enviado em 09/05/2012 - 17:37h

    Cara, parece que esse fwlogwatch é a solução, vou instalar e realizar os testes.

    0 0
  • Quote

    • 9. Re: Monitoramento de acessos [RESOLVIDO]

    Hudson de Oliveira Souza
    verovan
    (usa openSUSE)

    Enviado em 09/05/2012 - 18:06h

    a solução é essa mesmo, consegui configurar e gerar os relatórios que precisava, porém ele pegou somente da rede interna e preciso do acesso externo, postei lá no artigo dele para ver se alguem ajuda, mas muito obrigado, valeu mesmo.

    0 0
  • Quote

    • 10. Re: Monitoramento de acessos [RESOLVIDO]

    Perfil removido
    removido
    (usa Nenhuma)

    Enviado em 09/05/2012 - 18:16h

    por nada amigo, rsrsrs, o artigo é meu cara.

    olha só, no caso de conexões vindas de fora(externas) ou saindo (internas) você tem que fazer uma regra de log antes para gerar o registro para então o fwlogwatch poder listar, entendeu ?

    ou interpretei errado sua pergunta ? caso interpretei errado explica melhor.

    0 0
  • Quote

    • 11. Re: Monitoramento de acessos [RESOLVIDO]

    Hudson de Oliveira Souza
    verovan
    (usa openSUSE)

    Enviado em 10/05/2012 - 10:23h

    é isso mesmo, preciso dos logs no caso de saida do ssh.

    0 0
  • Quote

    • 12. Re: Monitoramento de acessos [RESOLVIDO]

    Hudson de Oliveira Souza
    verovan
    (usa openSUSE)

    Enviado em 10/05/2012 - 10:40h

    Você poderia me ajudar nessas regras? minha placa interna é a eth0 e a externa a eth2, porém preciso registrar todos os acessos externo feito pelo ssh, nesse caso são vários ips.

    0 0
  • Quote


    • 01 02



    Patrocínio

    Site hospedado pelo provedor RedeHost.
    Linux banner

    Destaques

    Artigos

    Enviar mensagem ao usuário trabalhando com as opções do php.ini

    Meu Fork do Plugin de Integração do CVS para o KDevelop

    Compartilhando a tela do Computador no Celular via Deskreen

    Como Configurar um Túnel SSH Reverso para Acessar Sua Máquina Local a Partir de uma Máquina Remota

    Configuração para desligamento automatizado de Computadores em um Ambiente Comercial

    Dicas

    Criando uma VPC na AWS via CLI

    Multifuncional HP imprime mas não digitaliza

    Dica básica para escrever um Artigo.

    Como Exibir Imagens Aleatórias no Neofetch para Personalizar seu Terminal

    Visualizar a árvore de arquivos no terminal

    Tópicos

    programa (1)

    isso é verdade? (1)

    A IMPRESSORA NÃO IMPRIMI NO WIN10 (0)

    touchpad não funcona junto do teclado - debian (0)

    Acabei zuando meu Linux inteiro e estou desesperado (2)

    Top 10 do mês

    Scripts

    [Shell Script] Criador de playlist

    [Shell Script] Instalador de programas

    [Python] Automação de scan de vulnerabilidades de URL

    [Python] Automação de scan de vulnerabilidades

    [Python] Script para analise de superficie de ataque

    A maior comunidade GNU/Linux da América Latina! Artigos, dicas, tutoriais, fórum, scripts e muito mais. Ideal para quem busca auto-ajuda.

    Site hospedado por: