Я хочу регистрировать все попытки входа по SSH, как успешные, так и неудачные, на мой сервер FreeBSD в файл и ежедневно отправлять этот журнал по почте root.
Я мог бы сделать что-то подобное, проанализировав /var/log/auth.log, но а) он содержит больше, чем попытки входа в систему, и б) он может быть отменен после вчерашнего запуска. Есть ли более прямой способ сделать это; например, ловушка в SSHd или конфигурация входа в систему для регистрации каждого входа в систему?
По умолчанию вход в AUTH объект. Вы можете изменить facility что sshd подключается к SyslogFacility вариант конфигурации.
SyslogFacility LOCAL7
Затем настройте свой syslogd для записи local7. * В собственный файл, добавив
local7.* /var/log/local7.log
в файл конфигурации syslogd. Скажите syslogd перечитать его файл конфигурации, отправив ему HUP signal сделайте то же самое для sshd, и вы должны отправлять сообщения sshd в его собственный файл.
Я наткнулся на это сообщение в блоге который описывает несколько решений моего вопроса. Среди прочего упоминается анализ журнала и, что интересно, Сценарии PAM через pam_exec. Это позволяет мне запускать собственный сценарий при каждом входе в систему.
Считаю это наиболее гибкое решение моей проблемы, хотя IainПредыдущий ответ, вероятно, менее инвазивен и также решает мою проблему.