Как заставить команду last показывать авторизации при портфорварде?

Question

[pcdesign]

Есть юзеры которые используют ssh для портфорварда.
Например, через remmina rdp.

Авторизацию можно увидеть в логах:
/var/log/secure
И на моменте увидеть в списке процессов:
ps ax

Как сделать так, чтобы их было видно на моменте в командах w, who?
И как с помощью команды last просматривать историю таких подключений?

Answer 1

[Андрей]

/var/log/secure пишется демоном /sbin/syslogd . И пишет он туда не входы, а именно авторизации, в т.ч. sudo, sudo su, su и т.д.
Настройки syslogd можно посмотреть в /etc/syslog.conf, конкретно строчка "authpriv.*" означает "записывать в лог все сообщения, полученные от ядра, которые начинаются на authpriv."
Вывод команды last - это результат чтения бинарного лога /var/log/wtmp (man wtmp), в который записываются удачные входы (не рекомендую открывать лог cat'ом, tail'ом и т.п.). Логи (wtmp, utmp, btmp), в свою очередь, пишут /bin/login и его функция logout.
Т.е. отвечая на ваш вопрос:
1. Нельзя заставить /bin/login записать в лог авторизацию, т.к. он пишет входы;
2. Нельзя заставить /bin/login записать в лог вход, если входа не произошло;
3. Нельзя заставить last показывать то, что не записано в логи.

Comments

[pcdesign]

Андрей, спасибо за ответ. Совсем никак нельзя?

[Эргил Осин]

Загляните в /var/log/auth.log

[pcdesign]

Эргил Осин , нет такого файла у меня в центосе.
less /var/log/auth.log
/var/log/auth.log: No such file or directory
---------------------------------------------------
Да и всё это видно в файле /var/log/secure.
У меня задача заставить команды w, who, last показывать такие соединения.
Единственное решение, которое я вижу, это писать в файл wtmp такого рода соединения, по крону, например. Нашел перловый модуль, который может это делать.
search.cpan.org/~mpiotr/User-Utmp-1.8/Utmp.pm
Но без поллитра пока не разберу как туда писать.

[Андрей]

Эргил Осин: auth.log встречается только в Debian-подобных системах. Конечно можно "заставить" писать CentOS syslogd в файл /var/log/auth.log, изменив в конфигурации /etc/syslog.conf строчку "authpriv.* /var/log/secure" на "authpriv.* /var/log/auth.log", но практического смысла в этом нет, т.к. люди, привыкшие работать на RHEL-подобных системах уже привыкли к тому, что авторизации нужно искать именно в /var/log/secure.
pcdesign: Ну не то, чтобы "совсем". Только, если насильно переносить в wtmp и btmp нужные строки из secure.
Модуль, который Вы нашли работает с файлом utmp.
А вам нужно записывать именно в wtmp (только крайне осторожно. Это всё-таки не plain text).
Давайте расставим все точки над i:
wtmp - бинарный лог успешных входов (вывод командой last)
btmp - бинарный лог неуспешных входов (вывод командой lastb)
utmp - бинарный лог текущих сессий (вывод командой who)

[Эргил Осин]

Андрей: а в rpm-аду все еще насилуют труп syslogd? Им там в аду про rsyslog не рассказали?