syslog.confを使用してリモート[rsh / rcp]ログインイベントと情報をキャプチャする方法

1

Linuxサーバー[Oracle Linux 5x]でリモートログインイベントをキャプチャする方法を模索しています。多くのユーザーがrcpおよびrshプロトコルを使用してサーバーに接続しています。[ログ記録元のサーバー、unix id、rcpのファイル詳細など]イベントをキャプチャしたい

syslog.confで、次の詳細をキャプチャしています。local7。* / var / log / ftplogs authpriv。* / var / log / sftplog

施設がありませんか。

linux  syslog  syslogd 
Balualways
ソース
自問しなければならない質問:これらのイベントは、私のシステムの現在のログに表示されていますか?もしそうなら、syslogのどの手段でそこにたどり着きましたか?
ティンク
syslogログファイルでssh / ftp / scpイベントを取得できます。問題はrcpとrshのみにあります
-Balualways
ワイルドなアイデアの1つは、rcpおよびrshコマンドの名前を変更して、ロギングを実行してから実際のコマンドを呼び出すスクリプトに置き換えることです。
harrymc

回答:

2

次の範囲内でパラメーターrshd-Lオンに切り替える必要がありserver_argsますxinetd.conf

service shell {
                disable        = no
                socket_type    = stream 
                wait           = no 
                user           = root
                log_on_success += USERID
                log_on_failure += USERID
                server         = /usr/sbin/in.rshd 
                server_args    = -L
              }
マルセル
ソース
私はすでに私はxinetd.confにこの情報を持っている
Balualways
回転した後、rshのようないくつかの情報がログにキャプチャされていないので、ログファイルにlogrotateがあります。回転するたびに、syslogサービスを再起動する必要があるように見えます。
バルウェイズ
詳細をお寄せいただきありがとうございますmarcel
xinetd.confで
それでは、logrotateに関する質問は、ローテーション後にログを保持しないということでしょうか?SIGUSR1がPIDに送信されない場合、logrotateにいくつかの問題があることは知っていますが、確実にはわかりません。いくつかグーグルしたいかもしれません。
マルセル
logrotateファイルに次を追加することにより[postrotate; / binに/ -HUP殺すcat /var/run/syslogd.pid 2> /dev/null2>]、syslogがRCPとrsh-おかげで可能に正しくauth.infoをキャプチャ開始
Balualways
弊社のサイトを使用することにより、あなたは弊社のクッキーポリシーおよびプライバシーポリシーを読み、理解したものとみなされます。
Licensed under cc by-sa 3.0 with attribution required.