syslog.confを使用してリモート[rsh / rcp]ログインイベントと情報をキャプチャする方法


1

Linuxサーバー[Oracle Linux 5x]でリモートログインイベントをキャプチャする方法を模索しています。多くのユーザーがrcpおよびrshプロトコルを使用してサーバーに接続しています。[ログ記録元のサーバー、unix id、rcpのファイル詳細など]イベントをキャプチャしたい

syslog.confで、次の詳細をキャプチャしています。local7。* / var / log / ftplogs authpriv。* / var / log / sftplog

施設がありませんか。


自問しなければならない質問:これらのイベントは、私のシステムの現在のログに表示されていますか?もしそうなら、syslogのどの手段でそこにたどり着きましたか?
ティンク

syslogログファイルでssh / ftp / scpイベントを取得できます。問題はrcpとrshのみにあります
-Balualways

ワイルドなアイデアの1つは、rcpおよびrshコマンドの名前を変更して、ロギングを実行してから実際のコマンドを呼び出すスクリプトに置き換えることです。
harrymc

回答:


2

次の範囲内でパラメーターrshd-Lオンに切り替える必要がありserver_argsますxinetd.conf

service shell {
                disable        = no
                socket_type    = stream 
                wait           = no 
                user           = root
                log_on_success += USERID
                log_on_failure += USERID
                server         = /usr/sbin/in.rshd 
                server_args    = -L
              }

私はすでに私はxinetd.confにこの情報を持っている
Balualways

回転した後、rshのようないくつかの情報がログにキャプチャされていないので、ログファイルにlogrotateがあります。回転するたびに、syslogサービスを再起動する必要があるように見えます。
バルウェイズ

詳細をお寄せいただきありがとうございますmarcel
xinetd.confで

それでは、logrotateに関する質問は、ローテーション後にログを保持しないということでしょうか?SIGUSR1がPIDに送信されない場合、logrotateにいくつかの問題があることは知っていますが、確実にはわかりません。いくつかグーグルしたいかもしれません。
マルセル

logrotateファイルに次を追加することにより[postrotate; / binに/ -HUP殺すcat /var/run/syslogd.pid 2> /dev/null2>]、syslogがRCPとrsh-おかげで可能に正しくauth.infoをキャプチャ開始
Balualways
弊社のサイトを使用することにより、あなたは弊社のクッキーポリシーおよびプライバシーポリシーを読み、理解したものとみなされます。
Licensed under cc by-sa 3.0 with attribution required.