web-dev-qa-db-fra.com

Comment trouver qui accède à mon serveur? Mon serveur est Ubuntu

Je souhaite connaître toutes les personnes qui accèdent à mon serveur. Existe-t-il un journal indiquant quand et comment les personnes accèdent à mon serveur?

--MODIFIER--

Désolé de ne pas fournir plus de détails il y a un moment. Mon serveur est Ubuntu 10.04 LTS fonctionnant sous Linode. J'ai entendu de nombreux récits effrayants de pirates informatiques essayant de pirater un serveur. Je veux donc savoir où se trouvent les journaux qui me montreront qui a accédé à mon serveur par ssh, ou tout ce qui peut mettre mon serveur en danger.

J'ai installé la pile LAMP sur mon serveur. C'est tout ce que j'ai jamais installé.

7
Kevin Lee

Mettez une caméra de sécurité à côté de votre serveur si vous voulez voir qui accède à votre serveur physique.

Juste pour savoir que quelqu'un envoie des paquets à votre serveur, vous pouvez configurer des tables IP:

Sudo iptables -I INPUT -j LOG
Sudo iptables -I FORWARD -j LOG

Ce n'est probablement pas ce que vous vouliez dire, mais il enregistre TOUS les paquets entrants dans /var/log/kern.log, qu'ils soient valides ou non. la commande précédente était illustrative, ne l'utilisez pas sous cette forme ou vous allez inonder vos journaux causant un possible DoS

Une petite liste de services avec leurs fichiers de log:

  • SSH: chaque tentative de connexion est consignée dans /var/log/auth.log
  • Apache: sur une installation par défaut utilisant apt, les fichiers journaux sont écrits dans le répertoire /var/log/Apache2/
  • exim: les tentatives de connexion sont consignées dans /var/log/exim4/mainlog (mais les messages inoffensifs concernant la file d'attente sont également consignés dans celle-ci)
7
Lekensteyn

On dirait que vous êtes paranoïaque et que les pirates pirateront votre serveur. Tant que vous n'êtes pas spécifiquement ciblé par un piratage (extrêmement improbable), vous pouvez éviter d'être piraté par:

  1. En utilisant des mots de passe forts (et mieux encore, mettez à niveau la crypto à clé publique pour votre serveur ssh).
  2. Être conscient de tous les services auxquels les gens peuvent accéder. Désactiver ceux qui ne sont pas nécessaires (c.-à-d. Désactiver un serveur FTP si vous pouvez utiliser sftp)
  3. Garder tout à jour
  4. Évaluation de pages Web non statiques pour les injections SQL, les vulnérabilités d'inclusion de fichier (LFI/RFI) et d'autres vulnérabilités.

Tant que vous ne laissez pas un trou évident pour que quelqu'un passe à travers, tout ira bien. La plupart des "hackers" qui piratent des serveurs Web aléatoires sont à la recherche de solutions faciles.

4
Bandit