ssh & aktivitätslogs ?

boehmi · Mai 31, 2006

Hi,

kann mir einer sagen, wo (Suse) Linux die Logs für die Logins per ssh speichert? in /var/logs kann ich nichts finden!

Desweiteren suche ich nach dem Speicherort für Logs, die Aktivitäten der Nutzer anzeigen (zB dateien bearbeiten, löschen, programme ausführen usw), aber nicht die bash history!

Google und /etc/syslog.conf bringt mich irgendwie auch nich weiter!

danke für die Hilfe

Enterhaken · Jun 1, 2006

Wenn default, dann sollte es nach /var/log/messages gehen.
Ein Blick in die sshd_config sollte aber auch aufschlussreich sein.

boehmi · Jun 1, 2006

Jop. also in der messages sind zumindest du logins über ssh mit IP und nutzerkennung drin.

Allerdings hatte ich irgendwann mal in nem Buch gelesen, das Linux Systeme nahezu alle Aktivitäten (also auch das bearbeiten von Dateien usw) mitloggen bzw. mitloggen könnten. Scheinbar ist das in der Standardconfig dann nicht so?
Wäre die Log dafür, dann aber auch /var/log/messages?

soox · Jun 1, 2006

nein standardmaessig wir sicherlich nicht jeder eingetippte befehl irgendwo geloggt. es gibt tool, welche z.b. die system-calls anzeigen. diese zeigen dann auf, was der user so gemacht hat....diese aber ungefiltert loggen fuellt erstens deine hd und zweitens ists sehr unuebersichtlich.

v01d · Jun 1, 2006

naja. jeder eingetippte befehl wird in der .bash_history geloggt.
und man kann sein syslog (falls vorhanden) ja auch konfigurieren wieviel log-ausgaben man haben will (welches log-level).
und syscalls loggen wär echt übel für die platte. allein bei nem "einfachen" programm. man kanns ja mal testen:

Code:

strace ls

soox · Jun 1, 2006

Original von v01d
naja. jeder eingetippte befehl wird in der .bash_history geloggt.

dem kann man ja nicht wirklich loggen sagen, da:
1) der user dieses file loeschen/aendern kann
2) der user solche einstellungen wie historylaenge in seiner bash ueberschreiben kann.

v01d · Jun 1, 2006

naja loggen kann man es schon nennen. aber egal.
dass dieser beitrag nochwas mitm thema zu tun hat:
also mein ex-lehrer der hatte nen ssh log der konnte genau sehn wann sich wer über ssh eingeloggt hat. weiß nur leider nimmer wie die datei geheißen hat...
=> es geht.

soox · Jun 1, 2006

ach ja...der 2te teil der frage....wo erfolgreiche logins gespeichert werden.

Code:

$man last

-> /var/log/wtmp*