如何在审核日志文件中查找 ssh 密钥?

tag-icon tag-icon linux ssh security linux-audit cloud
如何在审核日志文件中查找 ssh 密钥?

我已经创建了用于连接两台主机(客户端 192.168.4.107 和服务器 192.168.4.106)的 ssh 密钥。在客户端机器上我运行了这个命令并且 ssh 连接有效:

ssh-keygen
ssh-copy-id -i /root/.ssh/id_rsa.pub [email protected]

ssh-keygen -lf /root/.ssh/id_rsa.pub -E md5
MD5:9a:3d:f7:c9:38:91:41:c7:8e:ca:a0:75:a2:51:b5:fm
ssh-keygen -lf /root/.ssh/id_rsa.pub -E sha256
2048 SHA256:9V6hDnLdq7heMYT2S54AHamAo9Bi8eQVa5oNa1dyHuo

在服务器上,我启用了审核系统,当我运行报告(aureport -i)时,我收到如下消息:

type=CRYPTO_KEY_USER msg=audit(19/02/2019 12:35:42.590:1145) : pid=12444 uid=root auid=unset ses=unset subj=system_u:system_r:sshd_t:s0-s0:c0.c1023 msg='op=destroy kind=server fp=SHA256:8a:99:38:f8:db:fd:02:52:76:ce:f8:c5:9a:ef:ef:47:98:23:fb:49:bf:c6:4b:de:e3:76:08:9c:f7:33:01:16 direction=? spid=12444 suid=root  exe=/usr/sbin/sshd hostname=? addr=? terminal=? res=success'

活动的目的是检测用户通过审核系统登录,感谢 ssh 密钥,问题是两个指纹密钥不匹配(跟踪 ip 不起作用,我在云上工作,ip 是公共的,并且对于所有用户始终相同) )。

SHA256 上指纹密钥的格式与audit.log 文件中的Fp 确实不同,fp 密钥的格式是哪种格式?我哪里错了?谢谢!

答案1

我解释了我的解决方案,用于检测云服务器中用户的活动变化。符合以下要求:

  • 客户端拥有带有 SHA256 xxxxx 指纹的私钥,并且启用 ssh 连接。
  • 在服务器上启用审计系统。
  • 为指定文件夹启用监视规则,例如 /home/oracle/

对于检测文件修改,我按照以下步骤操作,下面是一个示例:

ausearch -f
------------
20/02/2019 16:37:00 /home/oracle/.bash_history 2 yes /usr/bin/bash 54321 770

770 是活动编号,谢谢,我可以找到会议编号:

ausearch -p | grep 770
----------------------
type=SYSCALL msg=audit(20/02/2019 16:37:00.868:770) : arch=x86_64 syscall=open 
success=yes exit=3 a0=0x10bd080 a1=O_WRONLY|O_APPEND a2=0x180 a3=0x0 items=1 
ppid=8649 pid=8650 auid=oracle uid=oracle gid=oinstall euid=oracle suid=oracle 
fsuid=oracle egid=oinstall sgid=oinstall fsgid=oinstall tty=pts1 ses=58 
comm=bash exe=/usr/bin/bash subj=unconfined_u:unconfined_r:unconfined_t:s0- 
s0:c0.c1023 key=modifica_fil

会话号是 58,谢谢,我可以找到登录会话的 pid

ausearch -i | grep  ses=58
---------------------------
type=LOGIN msg=audit(20/02/2019 16:34:37.366:747) : pid=8646 uid=root 
subj=system_u:system_r:sshd_t:s0-s0:c0.c1023 old-auid=unset auid=oracle tty= 
(none) old-ses=4294967295 ses=58 res=yes

登录的pid是8646,我可以在var/log/secure中查看指定用户使用的指纹密钥

cat secure | grep 8646
----------------------
sshd[8646]: Accepted publickey for oracle from 192.168.4.107 port 58892 ssh2: 
RSA SHA256:x.x.x.x.x

相关内容