¿Cómo configurar el registro de todas las conexiones SSH?
SSH (Secure Shell) es uno de los protocolos más populares para la administración remota de servidores. Sin embargo, es importante tener control sobre todas las conexiones al servidor. En este artículo, veremos cómo configurar el registro de todas las conexiones SSH para mejorar la seguridad de su servidor.
Para empezar, asegúrese de que tiene instalado el paquete auditd (servicio de auditoría) en su servidor. Si no lo tiene, instálelo con el siguiente comando:
sudo apt-get install auditd
A continuación, es necesario modificar la configuración del servicio auditd. Abra el archivo /etc/audit/audit.rules y añada las siguientes líneas para registrar las conexiones SSH:
-w /var/log/auth.log -p wa -k ssh_logins
Después de realizar los cambios, reinicie el servicio auditd para aplicar la configuración:
sudo systemctl restart auditd
Ahora todas las conexiones SSH se registrarán en el archivo /var/log/auth.log con la etiqueta ssh_logins. Puede ver el registro de auditoría utilizando el comando ausearch:
sudo ausearch -k ssh_logins
De esta forma, garantizará el control sobre todas las conexiones SSH a su servidor y podrá detectar rápidamente cualquier actividad sospechosa.
No olvide revisar regularmente el registro de auditoría y analizar los logs para garantizar la seguridad de su servidor.
