SSH-Logs finden und löschen

  • Hallo liebe Forenmitglieder,

    ich habe mal eine allgemeine Frage zum Thema SSH. Leider finde ich in keiner Abhandlung oder Dokumentation über SSH etwas über Logs. Das heisst, ich möchte herausfinden wo und was in Raspbian-Lite (neueste Version)

    über getätigte SSH-Verbindungen gespeichert wird. Auf meinem Ubuntu-Rechner findet sich beispielsweise eine Datei ~/.ssh/known_hosts sowie ~/.ssh/known_hosts.old, dieses

    Verzeichnis bzw. eine solche Datei kann ich auf dem Raspberry allerdings nirgends finden.

    Ich nehme stets nur SSH-Verbindung via Kommando "ssh" und Passworteingabe auf. Allerdings von verschiedenen Maschinen aus und alles im Heimnetzwerk.

    In /etc/ssh/ auf dem Pi habe ich nichts vergleichbares gefunden.

    Wenn jemand Infos hat:

    - wird gespeichert welche Maschine sich wann mit dem Pi verbunden hat?

    - was wird davon gespeichert? Nur IP-Adresse des lokalen Netzwerks, MAC-Adresse+IP oder noch mehr das einen Client identifizieren kann?

    - wo werden diese Daten abgelegt?

    ...dann bitte her damit!


    vielen Dank schonmal

    Harry

  • Klasse! vielen Dank.

    So wie ich mit meinen bescheidenen Kenntnissen herauslesen kann ist es nur die IP und der Port über den die Verbindung stattgefunden hat.

    Der Pi lauscht bei mir ja standardmässig auf Port 22.

    Wieso laufen die Verbindungen dann jeweils auf einem anderen Port ab?

    btw, lässt sich Raspbian auch so konfigurieren dass SSH-Verbindungen nicht mitprotokolliert werden?

  • Wieso laufen die Verbindungen dann jeweils auf einem anderen Port ab?

    Ein remote-Host öffnet auf einem random-Port eine Verbindung zu deinem SSHD auf Port 22.

    lässt sich Raspbian auch so konfigurieren dass SSH-Verbindungen nicht mitprotokolliert werden?

    Du kannst z.B. den LogLevel in sshd_config anpassen (QUIET) oder rsyslog.conf entsprechend bearbeiten.

    Stellt sich die Frage des Warum. Logs, gerade was remote-Zugriffe belangt, sind nicht unnütz.

    Wenn du nichts zu sagen hast, sag einfach nichts.

  • Auf meinem Ubuntu-Rechner findet sich beispielsweise eine Datei ~/.ssh/known_hosts sowie ~/.ssh/known_hosts.old, dieses

    Verzeichnis bzw. eine solche Datei kann ich auf dem Raspberry allerdings nirgends finden.

    Log Dich mal vom Raspberry per ssh auf Deinem Ubuntu-Rechner ein und die Datei wird angelegt.

    Und das ist keine Log-Datei, ssh fragt beim nächsten Mal nicht mehr nach, ob Du Dir sicher bist.

    MfG

    Jürgen

  • Das ist eine Sicherheitsfunktion und die sollte man nicht deaktivieren.

  • Wenn jemand Infos hat:


    - wird gespeichert welche Maschine sich wann mit dem Pi verbunden hat?

    - was wird davon gespeichert? Nur IP-Adresse des lokalen Netzwerks, MAC-Adresse+IP oder noch mehr das einen Client identifizieren kann?

    - wo werden diese Daten abgelegt?

    1. Ja, sollte in der auth.log stehen.
    2. Zeitpunkt, IP-Adresse, der Hostkey und der PTR Ressource Record falls aktiv.
    3. /var/logs/auth.log

    Zusätzlich werden die Host-Keys in ~/.ssh/known_hosts gespeichert, wenn man den SSH-Client verwendet, um sich mit einem Server via SSH zu verbinden. Weicht der Host-key z.B. ab, weiß man, dass sich irgendwas geändert hat (neuer SSH-Host-Key durch Neuinstallation/Hacker-Angriff oder sonstiges).

    Deswegen möchte ein verantwortungsvoller Admin diese Funktionen nicht abschalten.

    Ich unterstütze möglicherweise ILLegales Vorhaben NICHT!

    Ihr seht immer illegales, wo nichts ist. Was er auf seiner Hardware mit seinen Daten macht, ist seine Sache und obliegt nicht unserer Verantwortung.

Jetzt mitmachen!

Du hast noch kein Benutzerkonto auf unserer Seite? Registriere dich kostenlos und nimm an unserer Community teil!