1. Topology 如圖.
2. 請aman 自OpenSuSE 執行 ssh 到 server1(sshd) 的登入失敗訊息記錄
自動出現在 server2(log server) 的/var/log/HOSTS/server1/local0-YYYY-MM-DD.log 檔.
3. server2(log server) 的 /var/log/HOSTS/ 內的 server1 子目錄必須能自動產生.
4. 記錄檔的格式如 : local0-2011-09-29.log. (其中local0 為自動取名的預先定義的facility 名稱)
5. server2(log server) 須 listen 的 protocol 為 TCP, port 須為 666.
6. 更改PAM的相關組態檔, 限制aman能登入的時段為周1-5的0800~1800
server1:
- vi /etc/ssh/sshd_config
取消35.36行的註解,並將35行SyslogFacility的值改為local0
- vi /etc/syslog-ng/syslog-ng.conf
於文件末端添加以下內容:
filter f_sshd { level(debug..emerg) and facility(local0); };
destination sshd {
tcp6("server2 IPv6位址" port(666));};
log { source(src); filter(f_sshd); destination(sshd); };
- useradd –m aman
- passwd aman
- vi /etc/pam.d/login
account required pam_time.so
- vi /etc/pam.d/sshd
account required pam_time.so
- man pam_time
- vi /etc/security/time.conf
login;*;aman;!Al1800-0800 & SaSu0800-1800
sshd;*;aman;!Al1800-0800 & SaSu0800-1800
server2:
- vi /etc/syslog-ng/syslog-ng.conf
source remote{tcp6(ip("::") port(666)); };
filter f_s1sshd { level(debug..emerg) and facility(local0) and match(error); };
destination s1sshd { file("/var/log/HOSTS/$HOST/$FACILITY-$YEAR-$MONTH-$DAY.log"
create_dirs(yes)); };
log { source(remote); filter(f_s1sshd); destination(s1sshd); };
